Configurare CORS per i server VAST
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
I browser moderni applicano limitazioni di sicurezza della stessa origine alle richieste di rete JavaScript, il che significa che un'applicazione web in esecuzione da un'origine non può recuperare i dati pubblicati da un'origine diversa. Per VAST, questa limitazione di sicurezza impedisce
XMLHttpRequests JavaScript effettuate dal codice di rendering VAST JavaScript dalla lettura
una risposta a un annuncio VAST pubblicata da un'origine diversa.
Questa limitazione di sicurezza ha lo scopo di evitare problemi in cui un'origine è in grado di leggere i dati di un'altra origine a cui un utente potrebbe aver eseguito l'accesso senza la sua autorizzazione. La limitazione pone problemi per i file VAST pubblicati in un ambiente JavaScript perché un ad server si trova spesso su un dominio diverso rispetto al player di annunci. Tuttavia, la condivisione delle risorse tra origini (CORS)
è un suggerimento di W3C che aggira questa restrizione consentendo
la condivisione tra origini diverse.
Intestazioni CORS
Per evitare problemi di origine tra siti, le risposte dell'ad server VAST alle richieste effettuate dall'SDK devono includere le seguenti intestazioni HTTP CORS:
Access-Control-Allow-Origin: <origin header value>
Access-Control-Allow-Credentials: true
Queste intestazioni consentono a un player di annunci su qualsiasi origine di leggere la risposta VAST
dall'origine dell'ad server. Imposta il valore di Access-Control-Allow-Origin
sul valore dell'intestazione Origin inviata con la richiesta di annuncio e
Access-Control-Allow-Credentials su true per assicurarti
che i cookie vengano inviati e ricevuti correttamente.
Per ulteriori istruzioni su come attivare CORS, consulta
Attivare la condivisione delle risorse tra origini.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-31 UTC.
[null,null,["Ultimo aggiornamento 2025-08-31 UTC."],[[["\u003cp\u003eModern browsers restrict JavaScript from accessing data from different origins for security reasons, impacting VAST ads served from a separate domain than the player.\u003c/p\u003e\n"],["\u003cp\u003eCross-Origin Resource Sharing (CORS) headers enable cross-origin data sharing, allowing VAST ads to be served from a different domain than the player.\u003c/p\u003e\n"],["\u003cp\u003eVAST ad server responses should include specific CORS headers: \u003ccode\u003eAccess-Control-Allow-Origin\u003c/code\u003e (set to the request's \u003ccode\u003eOrigin\u003c/code\u003e header value) and \u003ccode\u003eAccess-Control-Allow-Credentials\u003c/code\u003e (set to \u003ccode\u003etrue\u003c/code\u003e).\u003c/p\u003e\n"]]],[],null,["# Configure CORS for VAST servers\n\nModern browsers apply same-origin security restrictions to JavaScript network\nrequests, meaning that a web application running from one origin cannot retrieve data\nserved from a different origin. For VAST, this security restriction prevents\nJavaScript XMLHttpRequests made from JavaScript VAST rendering code from reading\na VAST ad response served from a different origin.\n\nThis security restriction is meant to prevent issues where one origin is able\nto read data from another origin that a user may be logged in to without that\nuser's permission. The restriction poses problems for VAST served in a JavaScript\nenvironment because an ad server is often on a different domain than the\nads player. However, [Cross-Origin Resource Sharing (CORS)](//www.w3.org/TR/cors)\nheaders is a W3C recommendation that works around this restriction by allowing\nsharing across different origins.\n\nCORS headers\n------------\n\nTo avoid cross-origin problems, VAST ad server responses to requests made by the SDK must\ninclude following HTTP CORS headers: \n\n```text\nAccess-Control-Allow-Origin: \u003corigin header value\u003e\nAccess-Control-Allow-Credentials: true\n```\n\nThese headers allow an ads player on any origin to read the VAST response\nfrom the ad server origin. Set the value of `Access-Control-Allow-Origin`\nto the value of the `Origin` header sent with the ad request, and\n`Access-Control-Allow-Credentials` to `true` to ensure\nthat cookies are sent and received properly.\n\nFor further instructions on enabling CORS, see\n[Enable cross-origin resource sharing](//enable-cors.org/)."]]
