Problema de seguridad flash

En el siguiente ejemplo se muestra un archivo de política que permite acceder a documentos de Flash originados en foo.com, www.friendOfFoo.com, *.foo.com y 105.216.0.40, a partir de un documento de Flash en foo.com:

<?xml version="1.0"?>
<!-- http://www.foo.com/crossdomain.xml -->
<cross-domain-policy>
<allow-access-from domain="www.friendOfFoo.com" />
<allow-access-from domain="*.foo.com" />
<allow-access-from domain="105.216.0.40" />
</cross-domain-policy>
También puede permitir el acceso a documentos procedentes de cualquier dominio, tal y como se muestra en el siguiente ejemplo:

<?xml version="1.0"?>
<!-- http://www.foo.com/crossdomain.xml -->
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
Cada etiqueta <allow-access-from> también tiene el atributo opcional secure. El atributo secure adopta de manera predeterminada el valor true. Puede establecer el atributo con el valor false si el archivo de política está en un servidor HTTPS y desea permitir que los archivos SWF de un servidor HTTP carguen datos del servidor HTTPS.

La configuración del atributo secure con el valor false puede poner en peligro la seguridad proporcionada por HTTPS.

Si el archivo SWF que está descargando procede de un servidor HTTPS pero el archivo SWF que lo carga se encuentra en un servidor HTTP, deberá añadir el atributo secure="false" a la etiqueta <allow-access-from>, tal y como se muestra en el siguiente código:

<allow-access-from domain="www.foo.com" secure="false" />
Un archivo de política que no contenga ninguna etiqueta <allow-access-from> tiene el mismo efecto que un servidor que no tenga ninguna política.