Если бы была проблема безопасности, то была бы ошибка безопасности.
Вы получаете IOError, это потому, что вы вызываете swf из неправильного местоположения (хотя оно перенаправлено в местоположение контента, но flash очень специфично для доменных имен.)
Это не имеет ничего общего с Security.allowDomain ("*"); - эта строка записывается в SWF для доступа к ней из любого места.
Ваш вопрос не очень понятен. Насколько я понимаю, решение состоит в том, чтобы вызвать SWF-файл из фактического местоположения контента и сделать его доступным, есть два варианта:
Поместите crossdomain.xml в фактическое место, откуда вы пытаетесь загрузить SWF, например, https://www.domain.com/crossdomain.xml:
<?xml version="1.0"?>
<!-- http://www.youtube.com/crossdomain.xml -->
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="myapp.com" />
</cross-domain-policy>
НЕ используйте <allow-access-from domain="*" />, если в вашем домене не используются файлы cookie или HTTP-аутентификация и вы четко понимаете, что кто-либо сможет отправлять запросы от имени ваших пользователей.