Silverlight ищет файл clientaccesspolicy.xml (специфичный для silverlight), если он не найден, он откатится на файл crossdomain.xml, который также может использоваться, например, flash. Вам нужен только один из них (сокеты работают только с clientaccesspolicy.xml, но webclient и http работают с обоими).
Давайте пока остановимся на clientaccesspolicy.xml, поскольку здесь меньше предостережений, а поддержка crossdomain.xml была добавлена только для того, чтобы догнать flash, так как такие сервисы, как flickr, уже есть.
DTD, включая описание для clientaccesspolicy.xml, находится по адресу на этой странице в MSDN
этот базовый пример должен начать
<?xml version="1.0" encoding="utf-8"?>
<access-policy>
<cross-domain-access>
<policy>
<allow-from>
<domain uri="*"/> <!-- Allows calls from every domain -->
</allow-from>
<grant-to>
<resource path="/api" include-subpaths="false"/> <!-- Only allows domain/api? to be called nothing else including api.txt, api/foo etc... -->
</grant-to>
</policy>
</cross-domain-access>
</access-policy>