Entonces, me doy cuenta de que la llamada ajax de inicio de sesión debe ser https, y la página desde la cual se realiza la llamada ajax también debe ser https para evitar que una persona en el medio pueda cambiar la página y cambiar el formulario que envía el inicio de sesión, por ejemplo. Entonces, ¿eso significa que la página donde el enlace a la página de inicio de sesión también debe ser https para evitar que ese enlace a la página de inicio de sesión pueda verse comprometido?
Obviamente, esto puede continuar hasta el infinito, por lo que sugiere que todo el sitio debe ser https para estar realmente seguro contra este tipo de ataques.