Meine Frage: Sind Cross-Site-Scripting-Beschränkungen bei Flash aktiv? Gibt es einen nachvollziehbaren technischen Grund für das Versagen, ist sowas irgendwem bekannt?

Standardmäßig wird in Flash Player 7 und späteren Versionen verhindert, dass eine von einer Domäne geladene SWF-Datei Zugriff auf Daten, Objekte oder Variablen aus SWF-Dateien erhält, die von anderen Domänen geladenen wurden. Es ist wechselseitig kein Zugriff auf die Objekte und Variablen möglich. Inhalte, die mit Hilfe nicht sicherer (nicht-HTTPS-) Protokolle geladen werden, können nicht auf Inhalte zugreifen, die mit einem sicheren (HTTPS-) Protokoll geladen werden, selbst wenn sich die Inhalte in derselben Domäne befinden. Eine SWF-Datei unter http://www.macromedia.com/main.swf kann beispielsweise keine Daten aus https://www.macromedia.com/data.txt laden. Genauso wenig kann eine in einer Domäne bereitgestellte SWF-Datei (z. B. mit loadVariables()) Daten einer anderen Domäne laden.

Identische numerische IP-Adressen sind kompatibel. Ein Domänenname ist jedoch auch dann nicht mit einer IP-Adresse kompatibel, wenn der Domänenname dieselbe IP-Adresse besitzt.