現代瀏覽器會對 JavaScript 網路要求套用同源安全限制,也就是說,從某個來源執行的網路應用程式無法擷取從其他來源提供的資料。如果是 VAST,這項安全限制會禁止 JavaScript XMLHttpRequests (由 JavaScript VAST 顯示程式碼製作) 讀取來自不同來源的 VAST 廣告回應。
這項安全限制旨在防止某個來源在未經使用者授權的情況下,讀取使用者可能登入的其他來源資料。這項限制會對 JavaScript 環境中放送的 VAST 造成問題,因為廣告伺服器通常與廣告播放器位於不同網域。
跨源資源共享 (CORS) 標頭是 W3C 草案規格,旨在允許跨不同來源共用資源。如要在 JavaScript 環境中放送廣告,VAST 廣告伺服器的回應必須包含下列 HTTP CORS 標頭:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: 的值應為廣告請求傳送的 Origin 標頭值。Access-Control-Allow-Credentials: 標頭可確保 Cookie 正確傳送及接收。
詳情請參閱 W3C 跨源資源共享草案規格