Configurer CORS pour les serveurs VAST
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les navigateurs modernes appliquent des restrictions de sécurité d'origine identique aux requêtes réseau JavaScript. Cela signifie qu'une application Web exécutée à partir d'une origine ne peut pas récupérer les données diffusées à partir d'une autre origine. Pour VAST, cette restriction de sécurité empêche
Les XMLHttpRequests JavaScript effectuées à partir du code de rendu VAST JavaScript en lisant
une réponse d'annonce VAST diffusée depuis une origine différente.
Cette restriction de sécurité vise à éviter les problèmes où une origine peut lire les données d'une autre origine à laquelle un utilisateur peut être connecté sans son autorisation. Cette restriction pose des problèmes pour le format VAST diffusé dans un
car un serveur publicitaire se trouve souvent sur un domaine différent de celui
le lecteur d'annonces. Toutefois, le partage des ressources entre origines multiples (CORS)
est une recommandation W3C qui contourne
cette restriction en permettant
le partage entre différentes origines.
En-têtes CORS
Pour éviter les problèmes d'origines multiples, les réponses de l'ad server VAST aux demandes du SDK doivent
inclure les en-têtes HTTP CORS suivants:
Access-Control-Allow-Origin: <origin header value>
Access-Control-Allow-Credentials: true
Ces en-têtes permettent à un lecteur d'annonces sur n'importe quelle origine de lire la réponse VAST à partir de l'origine de l'ad server. Définir la valeur de Access-Control-Allow-Origin
à la valeur de l'en-tête Origin envoyé avec la demande d'annonce ;
Access-Control-Allow-Credentials à true pour garantir
que les cookies sont envoyés et reçus correctement.
Pour en savoir plus sur l'activation du CORS, consultez
Activez le partage des ressources entre origines multiples.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/31 (UTC).
[null,null,["Dernière mise à jour le 2025/08/31 (UTC)."],[[["\u003cp\u003eModern browsers restrict JavaScript from accessing data from different origins for security reasons, impacting VAST ads served from a separate domain than the player.\u003c/p\u003e\n"],["\u003cp\u003eCross-Origin Resource Sharing (CORS) headers enable cross-origin data sharing, allowing VAST ads to be served from a different domain than the player.\u003c/p\u003e\n"],["\u003cp\u003eVAST ad server responses should include specific CORS headers: \u003ccode\u003eAccess-Control-Allow-Origin\u003c/code\u003e (set to the request's \u003ccode\u003eOrigin\u003c/code\u003e header value) and \u003ccode\u003eAccess-Control-Allow-Credentials\u003c/code\u003e (set to \u003ccode\u003etrue\u003c/code\u003e).\u003c/p\u003e\n"]]],[],null,["# Configure CORS for VAST servers\n\nModern browsers apply same-origin security restrictions to JavaScript network\nrequests, meaning that a web application running from one origin cannot retrieve data\nserved from a different origin. For VAST, this security restriction prevents\nJavaScript XMLHttpRequests made from JavaScript VAST rendering code from reading\na VAST ad response served from a different origin.\n\nThis security restriction is meant to prevent issues where one origin is able\nto read data from another origin that a user may be logged in to without that\nuser's permission. The restriction poses problems for VAST served in a JavaScript\nenvironment because an ad server is often on a different domain than the\nads player. However, [Cross-Origin Resource Sharing (CORS)](//www.w3.org/TR/cors)\nheaders is a W3C recommendation that works around this restriction by allowing\nsharing across different origins.\n\nCORS headers\n------------\n\nTo avoid cross-origin problems, VAST ad server responses to requests made by the SDK must\ninclude following HTTP CORS headers: \n\n```text\nAccess-Control-Allow-Origin: \u003corigin header value\u003e\nAccess-Control-Allow-Credentials: true\n```\n\nThese headers allow an ads player on any origin to read the VAST response\nfrom the ad server origin. Set the value of `Access-Control-Allow-Origin`\nto the value of the `Origin` header sent with the ad request, and\n`Access-Control-Allow-Credentials` to `true` to ensure\nthat cookies are sent and received properly.\n\nFor further instructions on enabling CORS, see\n[Enable cross-origin resource sharing](//enable-cors.org/)."]]
