I browser moderni applicano limitazioni di sicurezza delle stesse origini alle richieste di rete JavaScript, il che significa che un'applicazione web in esecuzione da un'origine non può recuperare i dati pubblicati da un'origine diversa. Per VAST, questa limitazione di sicurezza impedisce a JavaScript XMLHttpRequests creato dal codice di rendering VAST JavaScript di leggere una risposta di annuncio VAST pubblicata da una origine diversa.
Questa limitazione di sicurezza ha lo scopo di evitare problemi per cui un'origine è in grado di leggere i dati di un'altra origine a cui un utente potrebbe aver eseguito l'accesso senza la sua autorizzazione. La restrizione pone problemi per VAST pubblicati in un ambiente JavaScript perché spesso un ad server si trova in un dominio diverso da quello del player di annunci.
Le intestazioni CORS (Cross-Origin Resource Sharing) sono una bozza della specifica W3C concepita per consentire la condivisione tra origini diverse. Per essere pubblicabile in un ambiente JavaScript, la risposta di un ad server VAST deve includere le seguenti intestazioni CORS HTTP:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueQuesta intestazione HTTP consente a un player di annunci su qualsiasi origine di leggere la risposta VAST dall'origine dell'ad server. Il valore di
Access-Control-Allow-Origin: deve essere il valore dell'intestazione Origin inviata con la richiesta di annuncio.
L'intestazione Access-Control-Allow-Credentials: garantisce che i cookie vengano inviati e ricevuti correttamente.
Per ulteriori informazioni, consulta la pagina Specifica delle bozze W3C sulla condivisione delle risorse tra origini