Дод, с чего ты взял, что это прям "уязвимость" этот файл просто разрешает флэш-плагину обратиться к закрашенному тобой сайту просто к твоёму сайту методами GET & POST могут обращать флешки, которые лежат где угодно - на любом другом сайте или тупо локалхосте
Я это серьезно? Про flash? Вообще — да. Для кого-то это актуально, а к многих он исторически где-то еще работает. Да уже в этом году был один масштабный случай с флешем с «ново-старой» багой, про который в рунете так никто не написал Но давайте по порядку. crossdomain.xml Самое популярное связанное с флэшем — это файл crossdomain.xml. Это xml файл, который указывает флэш приложению политику работы с данным доменом (снова речь про SOP). И здесь ситуация как с CORS не пройдет. Если указано, что любой домен имеет доступ (вместе с куками) — значит любой. И это, конечно, плохо. Пример такого файла: <cross-domain-policy> <allow-access-from domain="*" to-ports="80"/> </cross-domain-policy> Флэшка с любого домена может обращаться к данному ресурсу (где расположен такой crossdomain) вместе с куками пользователя. Но это самый частый случай, бывает интереснее.