דפדפנים מודרניים מחילים הגבלות אבטחה ממקור זהה על רשת JavaScript כלומר, אפליקציית אינטרנט שפועלת ממקור אחד לא יכולה לאחזר נתונים. מוצגת ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת בקשות JavaScript בפורמט XMLHttpRequests שנוצרו מקוד רינדור VAST של JavaScript מקריאה תגובת VAST שהוצגה ממקור אחר.
הגבלת האבטחה הזו נועדה למנוע בעיות שבהן מקור אחד יכול כדי לקרוא נתונים ממקור אחר שיכול להיות שהמשתמש מחובר אליו בלי המידע הזה משתמש. ההגבלה יוצרת בעיות בקובצי VAST שמוצגים ב-JavaScript. מאחר ששרת מודעות נמצא בדרך כלל בדומיין שונה נגן המודעות. אבל שיתוף משאבים בין מקורות (CORS) כותרות הן המלצה של W3C שמסייעת לעקוף את ההגבלה הזו באמצעות ושיתוף בין מקורות שונים.
כותרות CORS
כדי להימנע מבעיות ממקורות שונים, תגובות של שרת מודעות VAST לבקשות שנשלחות על ידי ה-SDK כוללים את כותרות HTTP CORS הבאות:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
הכותרות האלה מאפשרות לנגן מודעות בכל מקור לקרוא את תגובת VAST
מהמקור של שרת המודעות. הגדרת הערך של Access-Control-Allow-Origin
לערך של הכותרת Origin שנשלחה עם הבקשה להצגת מודעה, וגם
Access-Control-Allow-Credentials אל true כדי לוודא
שקובצי Cookie נשלחים ומתקבלים כראוי.
להוראות נוספות לגבי הפעלת CORS: הפעלת שיתוף משאבים בין מקורות.