เบราว์เซอร์รุ่นใหม่ใช้ข้อจํากัดด้านความปลอดภัยแบบต้นทางกับคําขอเครือข่าย JavaScript ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทํางานจากต้นทางหนึ่งจะดึงข้อมูลที่แสดงจากต้นทางอื่นไม่ได้ สําหรับ VAST ข้อจํากัดความปลอดภัยนี้จะป้องกันไม่ให้ JavaScript ของ XMLHttpRequests ที่ทําจากโค้ดการแสดงผล VAST ของ JavaScript อ่านการตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจํากัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งสามารถอ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจเข้าสู่ระบบได้โดยไม่ได้รับอนุญาตจากผู้ใช้รายดังกล่าว ข้อจํากัดทําให้เกิดปัญหาสําหรับ VAST ในสภาพแวดล้อม JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่ในโดเมนที่ต่างจากโปรแกรมเล่นโฆษณา
ส่วนหัวกลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นข้อกําหนดฉบับร่างแบบ W3C ที่อนุญาตให้แชร์ในต้นทางต่างๆ ได้ หากต้องการแสดงใน JavaScript การตอบสนองของเซิร์ฟเวอร์โฆษณา VAST ต้องมีส่วนหัว HTTP CORS ต่อไปนี้
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueส่วนหัว HTTP นี้ช่วยให้โปรแกรมเล่นโฆษณาในทุกต้นทางอ่านการตอบสนอง VAST จากต้นทางเซิร์ฟเวอร์โฆษณาได้ ค่าของ
Access-Control-Allow-Origin: ควรเป็นค่าของส่วนหัว Origin ที่ส่งไปพร้อมกับคําขอโฆษณา
ส่วนหัว Access-Control-Allow-Credentials: ช่วยให้แน่ใจได้ว่าส่งและใช้คุกกี้อย่างถูกต้อง
โปรดดูข้อมูลเพิ่มเติมที่ข้อกําหนดฉบับร่าง W3C เกี่ยวกับการแชร์ทรัพยากรแบบข้ามต้นทาง