我想知道这种设置对用户有什么安全风险。

它几乎和通过纯 HTTP 提供一切服务一样糟糕。

您可以获得针对纯粹被动监听攻击的保护，但实际上任何能够进行这种中间人攻击的人也很可能能够进行主动攻击，从而改变发送回浏览器。这可能包括更改iframe src未受保护的父页面中的 ，或注入一些攻击脚本。

在实践中，HTTPS-iframe 可以保护您免受临时攻击者嗅探一般流量的攻击，但对于任何专门针对该站点的中间人来说，使该措施无效是微不足道的。

由提供商决定他们是否认为这种简单的 HTTP 保证适用于将要输入框架的信息类型 -​​ 除非该信息包含信用卡数据，在这种情况下他们有义务遵守需要 HTTPS 的 PCI-DSS 规则。（评估人员应验证 HTTPS 指示符在浏览器 chrome 中是否可见。）

看到浏览器的地址栏无法提供身份/加密信息令人不安。

是的 - 独立于实际安全问题，这是感知安全性差，可能会让一些用户望而却步。

不查看页面来源，如何知道 iframe 内容来自哪里？

相当。查看源代码/DOM 不是您可以期望普通用户做的事情。

此外，即使您验证 iframe 正在使用 HTTPS 提供服务，也无法阻止不安全的父页面通过“点击劫持”攻击（例如键盘记录覆盖表单）对其进行干扰。

靠神父印记就够了吗？

海豹不提供任何安全性，因为它们很容易被欺骗。它们只不过是一种营销活动；CA 应该为这种故意误导的行为感到羞耻。

混合使用 HTTP 和 HTTPS 几乎破坏了 HTTPS 的大部分优势。一方面，攻击者可能会向您展示一个恶意的父 HTTP 框架，其中 iframe 链接到他自己的站点。浏览器不会发现它可疑。用户也不会。iframe URL 是隐藏的，并且 iframe 没有声称是 HTTP。除非他们检查过，否则没有人会知道其中的区别。

“印章”只是一个 HTML 元素，很容易伪造。我不知道它是如何工作的，但它可能只是指向带有 SSL 证书信息的 GoDaddy 页面的链接。恶意 iframe 可以使用相同的 HTML 并链接到相同的 GoDaddy 页面。或者，他们可以以不同的方式（在 iframe 本身内等）显示安全信息，而那些不知道原始身份验证器长什么样的人永远不会知道其中的区别。