เบราว์เซอร์สมัยใหม่ใช้ข้อจำกัดด้านความปลอดภัยต้นทางเดียวกันกับเครือข่าย JavaScript
ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทำงานจากต้นทางหนึ่งจะเรียกข้อมูลไม่ได้
มาจากต้นทางที่อื่น สำหรับ VAST ข้อจำกัดด้านความปลอดภัยนี้จะป้องกัน
JavaScript XMLHttpRequests สร้างจากโค้ดการแสดงผล VAST แบบ JavaScript จากการอ่าน
การตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจำกัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งๆ ทำได้ เพื่ออ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจเข้าสู่ระบบโดยไม่ได้เข้าสู่ระบบ สิทธิ์ของผู้ใช้ การจำกัดนี้ทำให้เกิดปัญหาสำหรับ VAST ที่แสดงใน JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่บนโดเมนที่แตกต่างจาก โปรแกรมเล่นโฆษณา
ส่วนหัวกลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นข้อกำหนดฉบับร่างของ W3C เพื่อให้สามารถแชร์ข้ามต้นทางได้ เพื่อให้แสดงใน JavaScript ได้ การตอบสนองของเซิร์ฟเวอร์โฆษณา VAST ต้องมีส่วนหัว HTTP CORS ต่อไปนี้
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueส่วนหัว HTTP นี้อนุญาตให้โปรแกรมเล่นโฆษณาในต้นทางอ่านการตอบสนองของ VAST ได้ จากต้นทางของเซิร์ฟเวอร์โฆษณา ค่าของ
Access-Control-Allow-Origin:
ควรเป็นค่าของส่วนหัว Origin ที่ส่งไปพร้อมกับคำขอโฆษณา
ส่วนหัว Access-Control-Allow-Credentials: จะช่วยให้แน่ใจว่า
มีการส่งและรับคุกกี้อย่างเหมาะสม
โปรดดูข้อมูลเพิ่มเติมที่ข้อกำหนดเฉพาะฉบับร่างของ W3C เกี่ยวกับการแชร์ทรัพยากรข้ามโดเมน