В дополнение к тому, что сказал Пауло, это действительно зависит от того, что вы хотите сделать. Вы хотите, чтобы SWF других людей вводил в заблуждение относительно местоположения, в котором он находится, или вы хотите, чтобы ваш SWF подслушивал на странице, на которой он находится.
В первом случае это может помочь перегрузить функции JavaScript, используемые для поддержки связи AS-JS. Таким образом, вы можете делать вид, что вы предоставляете правильную информацию в SWF. Посмотрите в Firebug все функции, которые начинаются с чего-то вроде __flash_***, их можно перегрузить и заставить Flash использовать вместо вас вашу версию.
Когда страницы загружаются в iframe и аналогичные методы, такие как прослушивание вашей страницы без вашего ведома (это строго не относится к Flash), но если вы намеревались использовать какой-то SWF без него зная, где он находится, вы попытаетесь выяснить, какие именно параметры посылает динамически созданный iframe для загрузки SWF-файла, и таким же образом вы можете имитировать это тоже. JavaScript является открытой дверью для такого рода мошенничества, и он по своей сути таков. Это скорее соревнование, где вам нужно быть несколько более защищенным, чем тот, кто играет против вас, чем обеспечивать реальную безопасность:)
Просто намек на перегрузку функций EI:
with ({ "window" : { "location" : { "toString" : function() { return "woo-hoo!"; } } }})
{ alert(window.location.toString()); }
:)