新型瀏覽器會對 JavaScript 網路要求套用相同來源的安全性限制,也就是說,從某個來源執行的網頁應用程式無法擷取從不同來源提供的資料。針對 VAST,這項安全性限制可防止 JavaScript VAST 顯示程式碼產生的 JavaScript XMLHttpRequest 讀取來自不同來源的 VAST 廣告回應。
這項安全性限制的用意是防止特定來源在未經使用者同意的情況下,從另一個來源讀取資料。這項限制為 JavaScript 環境中放送的 VAST 造成問題,因為廣告伺服器通常與廣告播放器位於不同網域。不過,跨源資源共享 (CORS) 標頭是一項 W3C 建議,可允許在不同來源間共用,藉此因應這項限制。
CORS 標頭
為了避免跨來源問題,對 SDK 發出的請求所發出的 VAST 廣告伺服器回應必須包含下列 HTTP CORS 標頭:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
這些標頭可讓任何來源的廣告播放器讀取來自廣告伺服器來源的 VAST 回應。將 Access-Control-Allow-Origin 的值設為與廣告請求一併傳送的 Origin 標頭值,然後將 Access-Control-Allow-Credentials 設為 true,以確保能正確傳送及接收 Cookie。
如要進一步瞭解如何啟用 CORS,請參閱「啟用跨來源資源共享」。