是的，呈现表单的页面需要使用 SSL 以及目标。如果表单页面不使用 SSL，攻击者将能够在传输过程中对其进行操作。

• 他可以改变目标。
• 或者更隐蔽：他可以在该页面的某处添加一些 JavaScript，以将数据副本发送到他的服务器

您不应该教人们在非 SSL 页面上输入敏感信息

关于支付数据，您必须了解有以安全为中心的答案和以合规为中心的答案。

简而言之，这取决于。当然，您可以将用户从 HTTP 站点发布/重定向到 HTTPS 站点，但这种方法是否可以接受取决于您的商家类型。此外，当您考虑 PCI 合规性要求时，这种方法是否“安全”变得不那么重要了。那么问题就变成了合规的方法，以及您是否要满足最低合规要求，或者您是否要实施更多控制以增加安全状况/降低风险。是否合规取决于您是否有发言权。这取决于您每年处理的信用卡交易量。

假设您是具有自己的商家 ID 号的商家（我将交替使用“您”）。您接受信用卡付款，但选择外包付款系统。商家，您，仍然负责维护PCI合规性。如果您的收单银行要求您提交一份自我评估问卷，您必须完成该问卷，否则可能会支付更高的每笔交易费用和罚款，或者可能会失去处理卡数据的能力。如果您处理大量信用卡交易——每年超过 600 万张签证或 600 万张万事达卡或 250 万张美国运通卡，那么您将受到更严格的审计要求，包括由外部 PCI 认证的合格安全评估员进行的年度审计（ QSA)。

如果您不处理大量信用卡交易，则无需接受 QSA 的审核。您只需提交一份 SAQ。在这种情况下，商家和管理层声称要满足 PCI 数据安全标准。但是，如果您属于需要年度审核的课程，那么诸如您是否可以通过不安全的表单进行 HTTPS 发布以及如何实施重定向等问题将被 QSA 评估为通过/失败。

正如 ewanm89 评论的那样，使用明文页面将用户重定向到安全的支付网关会受到 MITM 攻击。任何设置巧妙的人都可以轻松地将目的地从 processpayment.com 更改为 givemeyourcardnumber.com。聪明的攻击者甚至可以实现来自公共 CA 的 SSL 证书，这样用户就不会收到任何弹出窗口。

最后，最好弄清楚您是否受合规要求的约束，如果是，请询问这种方法是否合规（一般的答案是这取决于 - 您必须能够证明如何和为什么）。其次，问问自己是否愿意接受风险，以及花费额外的 $$ 来获得 SSL 证书以加密更多内容是否有意义（或没有意义）（加密也会花费 CPU 周期）。

这是一个很长的答案，但是当您考虑到支付数据时，即使是最简单的问题的正确答案也会变得相当棘手。