Si un sitio se puede cargar en un iframe, entonces es vulnerable a los ataques de clickjacking .
Sin embargo, no puede usar javascript en su sitio para alterar el contenido y realizar acciones en el iframe (esto se aplica a diferentes dominios), debido a la mecanismo de política del mismo origen . Esto se aplica en ambos sentidos, un script cargado en el iframe no puede ejecutarse en el contexto del marco principal.
Sin embargo, puede haber inconvenientes para cargar otro sitio en un iframe. Por ejemplo, su sitio es atacado y se encuentra un XSS persistente. El atacante podría entonces reemplazar el iframe de Dropbox con uno falso que controla y recopilar las credenciales / datos del usuario. Debido a que el usuario no puede verificar fácilmente la url del iframe cargado, el phising se puede hacer más fácilmente en un iframe.
La otra versión también es posible. El sitio que incrusta en el iframe es pirateado y, en lugar de su contenido normal, muestra una página web que se parece a un inicio de sesión en su página. Usando este método, se pueden recopilar las credenciales de su sitio.
Además, el sitio incrustado puede comprobar si está cargado en un iframe y saltar fuera de él (cambiar la ubicación de la ventana) y realizar más ataques desde allí.
Como conclusión, la seguridad general depende tanto de la seguridad de su sitio y de la que te incrustas.
Lea otras preguntas en las etiquetas web-browser