Апплеты могут подключаться обратно к серверу, с которого они были загружены («та же политика происхождения»). С 6u10 они также могут получить доступ к сайтам с соответствующим файлом crossdomain.xml (Google google).
Случайное предоставление доступа к любому сайту, очевидно, не принесет пользы для безопасности. Вы можете подписать свой код и иметь плагин, позволяющий пользователям удалять безопасность. Тем не менее, это требует, чтобы вы знали о безопасности, чтобы сделать это безопасно (что большинство людей не делают). Для «хорошего» диалога безопасности вам необходим сертификат, подписанный доверенным центром сертификации.
Другим вариантом является переадресация вашего веб-сервера на соединения. Тем не менее, это снова сложно сделать безопасно.