Hallo Patrick,

laut Spezifikation (Seite 8, Listung 1.3.3) hat das Element <cross-domain-policy/> das Attribut secure. Dazu wird ausgeführt:

secure: [HTTPS and Sockets only, optional] Specifies whether access is granted only to HTTPS
   documents from the specified origin (true) or to all documents from the specified origin (false).

If secure is not specified in an HTTPS policy file, it defaults to true. Using false in an HTTPS
   allow-access-from-identity policy file is not recommended because this compromises the security
   offered by HTTPS; for example, allowing man-in-the-middle attacks to gain access to the HTTPS
   data protected by the policy file.

In socket policy files, the default is false. It is only useful to specify secure=”true” when the
   socket server is accepting connections from the local host since local socket connections are
   generally not at risk of man-in-the-middle attacks that could alter the secure=”true”
   declaration.

Sieht man in die überschaubar kleine DTD, wird Attribute secure mit "true" vordefiniert. So wie ich das jetzt verstehe, werden die mit <cross-domain-policy/> angegebenden Domains nur akzeptiert, wenn sie über ein verschlüsseltes Protokoll verfügen. Es wäre also möglich mal mit <cross-domain-policy secure="false"/> zu probieren.

Aber ansonsten kann ich Dir neben dem Rat, die Spezifikation sorgfältig zu studieren, auch nichts weiter schlaues schreiben.

Gruß aus Berlin!
eddi