ページがホストされているのと同じドメインにしかコールバックできないのは JavaScript コードだけである理由を理解しようとしていますが、コードが個人情報などを別のドメイン (悪意のあるサイトである可能性があります) に送信したくないことを理解しています。
しかし、他のドメインが crossDomain.xml ファイルをサーバーに置いた場合、悪意のあるサイトが呼び出しを受け入れる可能性があるということですか?
ご想像のとおり、私はこれがどのように機能するかについて基本的な理解を持っているので、助けていただければ幸いです。
サイト A が適切な crossDomain.xml ファイルを発行すると、サイト B は Adobe Flash を使用してサイト A からデータを読み取ることができます。これは JavaScript とは関係ありません。
JavaScript に相当するものはCORSです。
いずれの場合も、付与される許可は次のいずれかでなければなりません。
最初のケースでは、サイト B に悪意がある場合、データに対して何も悪いことはできません。2 つ目は、サイト A の開発者がサイト B を信頼するという重大な間違いを犯したことです。