Kivételesen korrekt cikket jelentetett meg az Index a Mike Murray által felfedezett, ActonScripteken keresztül kihasználható problémáról. Azért néhány pontosítást közölnék én is:

Az ActionScriptek működése a JavaScript-ekéhez hasonlóan korlátozott: csak ahhoz a domain-hoz tartozó erőforrásokhoz képesek hozzáférni, amelyen futtatásra kerültek, viszont tetszőleges domain felé intézhetnek kéréseket. A Flash objektumokba ágyazott ActionScriptek viszont a JavaScript-ekkel ellentétben mindig lefutnak mikor megjelenítik őket, nincs szükség direkt beágyazásra a HTML kódba. Így egy rosszul megírt fájlfeltöltő szkripten keresztül például feltolhatunk a szerverre egy .jpg kiterjesztésű fájlt, amiben valójában egy olyan ActionScript rejtőzik, amely a fájl megnyitásakor lelopja pl. az aktuális felhasználó munkamenet-azonosítóját - mivel ugyebár a feltöltött szkript már azon a domainen fut, ahová a felhasználó bejelentkezett. 

De ha feltesszük, hogy az okos programozó nem csak kiterjesztés-, hanem formátumellenőrzést is végez a feltöltött fájlokon, még mindig nem vagyunk biztonságban: a ZIP alapú fájlformátumokhoz (pl. ZIP, MS Open XML, XPI, JAR) ugyanis gond nélkül hozzá lehet csapni más típusú adatokat, ezzel nem sértjük meg a formátumspecifikációt.  

A problémára nyilvánvaló elkerülő megoldás az lehet, ha a feltöltött állományokat külön domainről szolgáljuk ki, másrészt megfelelő (erőforrásigényes) formátumellenőrzéssel megtilthatjuk a Flash tartalom feltöltését is. Kliens oldalon a Flash tartalmak fehérlistás szűrése lehet megoldás, de ez a megközelítés eddig sem volt túl népszerű. Az Adobe ugyan elismerte a problémát, de mivel a megoldás a teljes same-origin policy újratervezését igényelné, a változtatások pedig a már elkészült, legitim megoldásokat is veszélyeztetnék, nem valószínű, hogy univerzális orvoslat születik a közeljövőben.