דפדפנים מודרניים מחילים הגבלות אבטחה ממקור זהה על רשת JavaScript
כלומר, אפליקציית אינטרנט שפועלת ממקור אחד לא יכולה לאחזר נתונים.
מוצגת ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת
JavaScript XMLHttpRequests
נוצר מקוד רינדור JavaScript VAST מקריאה
תגובת VAST שהוצגה ממקור אחר.
הגבלת האבטחה הזו נועדה למנוע בעיות שבהן מקור אחד יכול כדי לקרוא נתונים ממקור אחר שיכול להיות שהמשתמש מחובר אליו בלי המידע הזה משתמש. ההגבלה יוצרת בעיות בקובצי VAST שמוצגים ב-JavaScript. מאחר ששרת מודעות נמצא בדרך כלל בדומיין שונה נגן המודעות.
כותרות של שיתוף משאבים בין מקורות (CORS) הן מפרט טיוטה של W3C שנועד כדי לאפשר שיתוף בין מקורות שונים. להיות ניתן להצגה ב-JavaScript תגובת שרת מודעות VAST חייבת לכלול את כותרות HTTP CORS הבאות:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueכותרת ה-HTTP הזו מאפשרת לנגן מודעות בכל מקור לקרוא את תגובת ה-VAST מהמקור של שרת המודעות. הערך של
Access-Control-Allow-Origin:
צריך להיות הערך של הכותרת Origin
שנשלחה עם הבקשה להצגת מודעה.
הכותרת Access-Control-Allow-Credentials:
מבטיחה
קובצי ה-Cookie נשלחים ומתקבלים כראוי.
מידע נוסף זמין במפרט הטיוטה של W3C בנושא שיתוף משאבים בין מקורות