Файл crossdomain.xml должен находиться в корневом каталоге сервера, к которому вы обращаетесь. Если они этого не сделали, то вам не повезло при работе в браузере. Это часть важного аспекта безопасности при работе в изолированной программной среде браузера (Silverlight имеет такое же ограничение). Он отменяется, если вы работаете в Air (или почти что-либо из браузера).
Допустим, вы пытаетесь получить данные от http://foo.com/rest/rss/all (или что-то в этом роде). Вы можете быстро проверить, разрешают ли они межсайтовый скриптинг (XSC), перейдя к http://foo.com/crossdomain.xml. Если его там нет, вы не сможете этого сделать.
Тем не менее, комментарии, которые вы получили по поводу дополнительной информации, помогли бы нам дать вам лучший ответ.