เบราว์เซอร์ที่ทันสมัยจะใช้ข้อจำกัดด้านความปลอดภัยจากต้นทางเดียวกันกับคำขอเครือข่าย JavaScript ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทำงานจากต้นทางหนึ่งจะดึงข้อมูลที่แสดงจากต้นทางอื่นไม่ได้ สำหรับ VAST ข้อจำกัดด้านความปลอดภัยนี้จะป้องกันไม่ให้ JavaScript XMLHttpRequests ที่สร้างขึ้นจากโค้ดการแสดงผล VAST ของ JavaScript อ่านการตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจำกัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งสามารถอ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจลงชื่อเข้าสู่ระบบโดยไม่ได้รับอนุญาตจากผู้ใช้รายดังกล่าว ข้อจำกัดนี้ทำให้เกิดปัญหากับ VAST ที่แสดงในสภาพแวดล้อม JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่คนละโดเมนกับโปรแกรมเล่นโฆษณา อย่างไรก็ตาม ส่วนหัวการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นคำแนะนำจาก W3C ที่ช่วยแก้ปัญหาข้อจำกัดนี้โดยอนุญาตให้แชร์ข้ามต้นทางได้
ส่วนหัว CORS
เพื่อหลีกเลี่ยงปัญหาแบบข้ามต้นทาง การตอบกลับของเซิร์ฟเวอร์โฆษณา VAST ต่อคำขอที่สร้างโดย SDK ต้องมีส่วนหัว HTTP CORS ต่อไปนี้
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
ส่วนหัวเหล่านี้ช่วยให้โปรแกรมเล่นโฆษณาในต้นทางทั้งหมดอ่านการตอบสนองของ VAST จากต้นทางของเซิร์ฟเวอร์โฆษณาได้ ตั้งค่า Access-Control-Allow-Origin เป็นค่าของส่วนหัว Origin ที่ส่งไปพร้อมกับคำขอโฆษณา และ Access-Control-Allow-Credentials เป็น true เพื่อให้แน่ใจว่ามีการส่งและรับคุกกี้อย่างถูกต้อง
ดูวิธีเพิ่มเติมในการเปิดใช้ CORS ที่หัวข้อเปิดใช้การแชร์ทรัพยากรแบบข้ามต้นทาง