Нашел проблему!
Решением было установить для allowcriptaccess значение «всегда» в параметрах флэш-памяти:
allowscriptaccess : 'always'
Это справочная информация о проблеме:
Начиная с Flash Player 9, вызовы getURL (или navigateToURL), затрагивающие "_self", "_parent" или "_top", рассматривались как взаимодействие с HTML-страницей хостинга. Начиная с Flash Player 9, обновление 3, затрагиваются все вызовы целей, отличных от _blank. Это сделано для предотвращения повторного перемещения ненадежных SWF-файлов, встроенных в HTML-страницу, на страницу браузера (или фрейм внутри этой страницы) без предупреждения пользователя о том, что он теперь посещает другой сторонний веб-сайт. Он также обеспечивает ограничения междоменных сценариев во всех html-фреймах.
Чтобы защитить HTML-страницы от ненадежных SWF-файлов, Flash Player поддерживает параметр HTML AllowScriptAccess в тегах и, отображающих содержимое Flash. AllowScriptAccess может иметь три значения:
- «всегда»: разрешает SWF-файлу взаимодействовать со страницей HTML во всех случаях.
- "sameDomain": разрешает SWF-файлу взаимодействовать со страницей HTML, только если их домены точно совпадают. По умолчанию шаблоны публикации HTML в приложении Adobe Flash Authoring выводят HTML, который задает значение AllowScriptAccess = "sameDomain", поскольку это часто является требуемым поведением безопасности.
- «никогда»: полностью предотвращает взаимодействие SWF-файла со страницей HTML.
Вызов getURL (или navigateToURL) теперь попадает под контроль параметра AllowScriptAccess. Другими словами, AllowScriptAccess должен быть «всегда» или «sameDomain», а домены HTML-страницы и SWF-файла должны точно совпадать. В противном случае вызов getURL (или navigateToURL) завершится неудачей.
Это новое поведение, введенное в Flash Player 9 для соответствия модели безопасности и затрагивающее все версии SWF. Adobe осознает, что это может изменить поведение некоторых носителей SWF, развернутых до выпуска Flash Player 9, и мы приносим извинения за возможные неудобства.