เบราว์เซอร์สมัยใหม่ใช้ข้อจำกัดด้านความปลอดภัยต้นทางเดียวกันกับเครือข่าย JavaScript ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทำงานจากต้นทางหนึ่งจะเรียกข้อมูลไม่ได้ มาจากต้นทางที่อื่น สำหรับ VAST ข้อจำกัดด้านความปลอดภัยนี้จะป้องกัน XMLHttpRequests ที่สร้างจากโค้ดการแสดงผล VAST ของ JavaScript จากการอ่าน การตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจำกัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งๆ ทำได้ เพื่ออ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจเข้าสู่ระบบโดยไม่ได้เข้าสู่ระบบ สิทธิ์ของผู้ใช้ การจำกัดนี้ทำให้เกิดปัญหาสำหรับ VAST ที่แสดงใน JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่บนโดเมนที่แตกต่างจาก โปรแกรมเล่นโฆษณา อย่างไรก็ตาม กลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นคำแนะนำของ W3C ซึ่งหลีกเลี่ยงข้อจำกัดนี้โดยอนุญาตให้ แชร์กับต้นทางต่างๆ ได้
ส่วนหัว CORS
ในการหลีกเลี่ยงปัญหาข้ามต้นทาง การตอบสนองของเซิร์ฟเวอร์โฆษณา VAST ต่อคำขอที่ SDK สร้างขึ้นจะต้อง มีส่วนหัว HTTP CORS ต่อไปนี้
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
ส่วนหัวเหล่านี้ช่วยให้โปรแกรมเล่นโฆษณาในต้นทางอ่านการตอบสนองด้วย VAST ได้
จากต้นทางของเซิร์ฟเวอร์โฆษณา ตั้งค่า Access-Control-Allow-Origin
กับค่าของส่วนหัว Origin ที่ส่งไปพร้อมกับคำขอโฆษณา และ
Access-Control-Allow-Credentials ไปยัง true เพื่อให้แน่ใจ
ว่ามีการส่งและรับคุกกี้อย่างเหมาะสม
โปรดดูวิธีการเปิดใช้ CORS เพิ่มเติมที่หัวข้อ เปิดใช้การแชร์ทรัพยากรแบบข้ามต้นทาง