Os navegadores modernos aplicam restrições de segurança de mesma origem às solicitações de rede
do JavaScript. Isso significa que um aplicativo da Web executado em uma origem não pode recuperar dados
veiculados de uma origem diferente. Para VAST, essa restrição de segurança impede que o JavaScript XMLHttpRequests feito a partir do código de renderização VAST JavaScript leia uma resposta de anúncio VAST veiculada a partir de uma origem diferente.
Essa restrição de segurança visa evitar problemas em que uma origem possa ler dados de outra origem em que um usuário possa estar conectado sem a permissão dele. A restrição representa problemas para o VAST veiculado em um ambiente JavaScript porque um servidor de anúncios geralmente está em um domínio diferente do player de anúncios.
Os cabeçalhos do Compartilhamento de recursos de origem cruzada (CORS) são uma especificação de rascunho do W3C destinada a permitir o compartilhamento em diferentes origens. Para poder ser veiculado em um ambiente JavaScript, a resposta de um servidor de anúncios VAST precisa incluir estes cabeçalhos HTTP CORS:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueEsse cabeçalho HTTP permite que um player de anúncios em qualquer origem leia a resposta VAST da origem do servidor de anúncios. O valor de
Access-Control-Allow-Origin:
precisa ser o valor do cabeçalho Origin enviado com a solicitação de anúncio.
O cabeçalho Access-Control-Allow-Credentials: garante que os cookies sejam enviados e recebidos corretamente.
Para saber mais, consulte a Especificação preliminar do W3C sobre compartilhamento de recursos entre origens