VAST 的跨源资源共享 (CORS)

现代浏览器会对 JavaScript 网络请求应用同源安全限制,这意味着从一个来源运行的 Web 应用无法检索从另一个来源传送的数据。对于 VAST,此安全限制可防止通过 JavaScript VAST 呈现代码生成的 JavaScript XMLHttpRequests 读取从其他来源投放的 VAST 广告响应。

此安全限制旨在防止一个来源在未经用户许可的情况下,可以从另一个来源读取可能未经该来源的数据。这种限制会给在 JavaScript 环境中投放的 VAST 带来问题,因为广告服务器通常与广告播放器位于不同的网域。

跨源资源共享 (CORS) 标头是一种 W3C 草案规范,用于实现跨源共享。要在 JavaScript 环境中投放,VAST 广告服务器的响应必须包含以下 HTTP CORS 标头:

Access-Control-Allow-Origin: <origin header value>
Access-Control-Allow-Credentials: true
此 HTTP 标头允许任何来源上的广告播放器从广告服务器来源读取 VAST 响应。Access-Control-Allow-Origin: 的值应该是随广告请求发送的 Origin 标头的值。Access-Control-Allow-Credentials: 标头可确保正确发送和接收 Cookie。

有关详情,请参阅 W3C 跨源资源共享规范草案