Код:
The URL policy file is located, by default, in the root directory of the target server, with the name
crossdomain.xml (for example, at www.example.com/crossdomain.xml). Flash application developers can
specify another location by calling the ActionScript loadPolicyFile() method. The URL policy file located
in the root directory is referred to as the master policy file.
Как ясно следует из этой цитаты, crossdomain.xml должен отдавать target server. Вы можете сами скачать
https://oauth.vk.com/crossdomain.xml? У меня не получилось, потому что его там нет. Может быть вы знаете путь, отличный от дефолтного, по которому он лежит в
https://oauth.vk.com? Если да, то можно явно загрузить с помощью loadPolicyFile() и дальше разбираться с его содержимым. Если же файла политики безопасности в принципе не существует в этом домене, то вы не сможете взаимодействовать с этим сервером через http/https.