Các trình duyệt hiện đại áp dụng các hạn chế về bảo mật cùng nguồn gốc cho mạng JavaScript yêu cầu, tức là ứng dụng web chạy từ một nguồn gốc không thể truy xuất dữ liệu được phân phát từ một nguồn khác. Đối với VAST, hạn chế bảo mật này ngăn chặn JavaScript XMLHttpRequests được tạo từ mã kết xuất VAST của JavaScript từ việc đọc một lượt phản hồi quảng cáo VAST được phân phát từ một nguồn gốc khác.
Quy định hạn chế bảo mật này nhằm ngăn chặn các vấn đề mà một nguồn gốc có thể để đọc dữ liệu từ một nguồn khác mà người dùng có thể đăng nhập mà không cần nguồn gốc đó sự cho phép của người dùng. Quy định hạn chế này gây ra vấn đề cho VAST được phân phát trong JavaScript vì máy chủ quảng cáo thường nằm trên một tên miền khác với trình phát quảng cáo. Tuy nhiên, tính năng Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) tiêu đề là một đề xuất W3C giải quyết hạn chế này bằng cách cho phép chia sẻ giữa nhiều nguồn gốc.
Tiêu đề CORS
Để tránh sự cố trên nhiều nguồn gốc, phản hồi của máy chủ quảng cáo VAST cho các yêu cầu do SDK đưa ra phải bao gồm các tiêu đề HTTP CORS sau:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Các tiêu đề này cho phép trình phát quảng cáo trên mọi nguồn gốc đọc phản hồi VAST
từ máy chủ quảng cáo. Đặt giá trị của Access-Control-Allow-Origin
vào giá trị của tiêu đề Origin được gửi cùng với yêu cầu quảng cáo và
Access-Control-Allow-Credentials đến true để đảm bảo
cookie được gửi và nhận đúng cách.
Để biết thêm hướng dẫn về cách bật CORS, hãy xem Bật tính năng chia sẻ tài nguyên trên nhiều nguồn gốc.