VAST 的跨源资源共享 (CORS)

现代浏览器会对 JavaScript 网络请求应用同源安全限制,这意味着,从一个来源运行的 Web 应用无法检索由另一个来源提供的数据。对于 VAST,此安全限制可防止通过 JavaScript VAST 呈现代码发出的 JavaScript XMLHttpRequest 读取从其他来源投放的 VAST 广告响应。

此安全限制是为了防止出现这样的问题:一个来源能够读取另一个来源的数据,而未经用户许可,用户就可能登录了这些数据。这种限制给在 JavaScript 环境中投放的 VAST 带来了问题,因为广告服务器通常与广告播放器位于不同的网域上。但是,跨域资源共享 (CORS) 标头是一项 W3C 建议,它允许跨不同源进行共享,从而解决了此限制。

CORS 标头

为避免出现跨域问题,VAST 广告服务器对 SDK 发出的请求做出响应必须包含以下 HTTP CORS 标头:

Access-Control-Allow-Origin: <origin header value>
Access-Control-Allow-Credentials: true

借助这些标头,任何来源的广告播放器都可以从广告服务器来源读取 VAST 响应。将 Access-Control-Allow-Origin 的值设置为随广告请求一起发送的 Origin 标头的值,并将 Access-Control-Allow-Credentials 设置为 true,以确保正确发送和接收 Cookie。

如需详细了解如何启用 CORS,请参阅启用跨域资源共享