Các trình duyệt hiện đại áp dụng các hạn chế bảo mật cùng nguồn gốc đối với các yêu cầu mạng JavaScript, nghĩa là ứng dụng web chạy từ một nguồn không thể truy xuất dữ liệu được phân phát từ nguồn gốc khác. Đối với VAST, quy định hạn chế về bảo mật này ngăn JavaScript XMLHttpRequests được tạo từ mã hiển thị VAST VAST đọc một phản hồi quảng cáo VAST được phân phát từ một nguồn gốc khác.
Hạn chế bảo mật này nhằm ngăn chặn các sự cố mà một nguồn gốc có thể đọc dữ liệu từ một nguồn gốc khác mà có thể người dùng đã đăng nhập mà không có sự cho phép của người dùng đó. Quy định hạn chế này sẽ gây ra vấn đề cho VAST phân phát trong môi trường JavaScript vì máy chủ quảng cáo thường nằm trên một miền khác với trình phát quảng cáo. Tuy nhiên, tiêu đề Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) là một đề xuất của W3C nhằm khắc phục hạn chế này bằng cách cho phép chia sẻ trên nhiều nguồn gốc.
Tiêu đề CORS
Để tránh các sự cố nhiều nguồn gốc, phản hồi của máy chủ quảng cáo VAST đối với các yêu cầu do SDK đưa ra phải bao gồm các tiêu đề HTTP CORS sau đây:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Các tiêu đề này cho phép trình phát quảng cáo trên mọi nguồn gốc đọc phản hồi VAST từ nguồn gốc của máy chủ quảng cáo. Hãy đặt giá trị của Access-Control-Allow-Origin
thành giá trị của tiêu đề Origin được gửi cùng với yêu cầu quảng cáo và
Access-Control-Allow-Credentials thành true để đảm bảo
rằng cookie được gửi và nhận đúng cách.
Để biết thêm hướng dẫn về cách bật CORS, hãy xem bài viết Bật tính năng chia sẻ tài nguyên trên nhiều nguồn gốc.