Browser modern menerapkan pembatasan keamanan origin yang sama ke jaringan JavaScript
permintaan, yang berarti bahwa aplikasi web yang berjalan dari satu asal tidak dapat mengambil data
disalurkan dari origin yang berbeda. Untuk VAST, pembatasan keamanan ini mencegah
JavaScript XMLHttpRequests dibuat dari kode rendering VAST JavaScript yang diperoleh dari pembacaan
respons iklan VAST yang ditayangkan dari origin yang berbeda.
Pembatasan keamanan ini dimaksudkan untuk mencegah masalah di mana suatu asal dapat untuk membaca data dari origin lain di mana pengguna mungkin login tanpa itu izin pengguna. Pembatasan ini menimbulkan masalah pada VAST yang ditayangkan di JavaScript karena server iklan sering kali berada di domain yang berbeda dengan pemutar iklan.
Header Cross-Origin Resource Sharing (CORS) adalah spesifikasi draf W3C yang dimaksudkan untuk memungkinkan berbagi di asal yang berbeda. Agar dapat ditayangkan di JavaScript respons server iklan VAST harus menyertakan header HTTP CORS berikut:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueHeader HTTP ini memungkinkan pemutar iklan pada asal apa pun untuk membaca respons VAST dari asal server iklan. Nilai
Access-Control-Allow-Origin:
harus berupa nilai header Origin yang dikirim dengan permintaan iklan.
Header Access-Control-Allow-Credentials: memastikan bahwa
cookie dikirim dan diterima dengan benar.
Untuk informasi selengkapnya, lihat Spesifikasi Draf W3C tentang Cross-Origin Resource Sharing