如果只有 iframe 是 https，则用户无法轻易看到它指向的 URL。因此，可以更改源 http 页面以将 iframe 指向任何它想要的位置。这几乎是一个游戏结束漏洞，消除了 https 的优势。

iFrame 会将内部 HTTPS 站点暴露给旧浏览器中的大量 javascript 和 cookie 攻击，并可能导致新浏览器出现问题。

要解决此问题，请查找“Frame Busting”以检测是否正在使用 iFrame。在 StackOverflow 上考虑这个解决方案：

https://stackoverflow.com/questions/958997/frame-buster-buster-buster-code-needed

在该代码中，您可以检测是否正在使用 iFrame，并提供替代内容以将用户引导至正确的站点。

通过 HTTP 提供的页面中的 HTTPS iframe 将不允许用户确定他们实际使用的是他们期望的 HTTPS 连接；因此，这可能允许 iframe 在简单的攻击（例如 iframe 注入）中被劫持。除其他外，这将允许密码收集。这种攻击可以通过木马、病毒或简单地访问恶意网站开始。

是的，虽然最新的浏览器会正确地对 SSL 部分进行沙箱处理，但您正在破坏添加到浏览器 chrome 以向用户提供有关内容的反馈的所有功能。如果不检查浏览器中显示的 URL，我不会提供任何敏感信息。