试图弄清楚为什么只有javascript代码只能回调到托管页面的同一域，并且我了解您不希望该代码将个人详细信息等发送到另一个域（可能是恶意站点）。

但是，如果另一个域在其服务器上放置了crossDomain.xml文件，这是否意味着恶意站点现在可以接受呼叫？

如您所料，我对这是如何工作有基本的了解，因此将不胜感激。

如果站点A发布了合适的crossDomain.xml文件，则站点B可以使用Adobe Flash从站点A读取数据。这与JavaScript无关。

等效的JavaScript是CORS。

在任何一种情况下，给出的许可应为：


对于非机密数据
到受信任的网站


在第一种情况下，如果站点B是恶意的，则它不会对数据造成任何不良影响。第二，站点A的开发人员在信任站点B时犯了一个严重错误。