Как мне кажется надо рядом с файлом, который возвращает xml, положить файл политики безопасности(crossdomain.xml)

Код AS3:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*"/>
</cross-domain-policy>
и в коде загрузить его:

Код AS3:
Security.loadPolicyFile("http://www.some-site.com/crossdomain.xml");
Чтобы отловить эту ошибку надо подписаться на событие SecurityErrorEvent.SECURITY_ERROR.