Dado que el iframe está sobre HTTPS pero la página web principal es HTTP; este sería un contenido mixto, pero los navegadores solo darían una advertencia si el contenido HTTP está incrustado en una página protegida con SSL, y no al revés, como sucede en este caso.
Todavía es una combinación insegura, ya que la página principal podría comunicarse con el contenido del iframe a través de la llamada a la API HTML postMessage. En este escenario de dominios cruzados, esto solo funciona si el documento en el iframe acepta y responde a estas consultas basadas en mensajes desde la página principal. Consulte este ejemplo . Aquí hay otro ejemplo que muestra a los desarrolladores cómo evitar este cruce. seguridad del dominio incorporando iframes de la página principal dentro del propio iframe, por lo que es un hack que puede no durar mucho tiempo, ya que los navegadores se actualizan con el tiempo y solucionan estos vacíos.
El único problema que veo aquí es que si se intercambian datos entre la página HTTP principal (no segura) y la página de pago seguro HTTPS, entonces ¿qué tan sensible es y qué tan bien está protegida cuando se transfiere al dominio HTTP no seguro? .
Pero, de nuevo, este tipo de problema es válido en cualquier lugar en que una aplicación web pasa la sesión / transacción del usuario a otra aplicación web, independientemente de si los iframes están involucrados o no. Como usuarios finales, no sabemos el tipo de comunicación que ocurre entre bambalinas entre diferentes proveedores de servicios al completar una transacción. Estos son el tipo de comprobaciones que PCI-DSS y otros deben validar.
Le sugiero que confíe en ellos si ambos servidores pertenecientes a las páginas HTTP y HTTPS pertenecen a la misma compañía de servicios de transmisión por secuencias.