Poiché l'iframe è su HTTPS ma la pagina Web principale è HTTP; questo sarebbe contenuto misto, ma i browser darebbero solo un avvertimento se il contenuto HTTP è incorporato in una pagina protetta da SSL, e non viceversa come in questo caso.
È ancora una combinazione non sicura in quanto la pagina principale sarebbe in grado di comunicare con i contenuti dell'iframe tramite la chiamata dell'API postMessage HTML. In questo scenario tra domini, questo funziona solo se il documento nell'iframe accetta e risponde a queste query basate sui messaggi dalla pagina principale. Vedi questo esempio . Ecco un altro esempio che mostra agli sviluppatori come aggirare questo incrocio sicurezza del dominio incorporando gli iframe della pagina principale all'interno dell'iframe stesso, quindi è un hack che potrebbe non durare a lungo mentre i browser vengono aggiornati nel tempo e correggere queste lacune.
L'unico problema che vedo qui è che se vengono scambiati dati tra la pagina HTTP principale (non protetta) e la pagina di pagamento protetta HTTPS, quanto è sensibile e quanto è protetta quando si passa al dominio HTTP non protetto .
Ma ancora una volta, questo tipo di problema è valido ovunque un'app Web passi la sessione / transazione dell'utente a un'altra app Web, indipendentemente dal fatto che gli iframe siano coinvolti o meno. Come utenti finali, non conosciamo il tipo di comunicazione in corso dietro le quinte tra diversi fornitori di servizi al momento del completamento di una transazione. Questi sono il tipo di controlli che PCI-DSS e altri dovrebbero convalidare.
Ti suggerisco di fidarti di loro se entrambi i server appartenenti alle pagine HTTP e HTTPS appartengono alla stessa compagnia di servizi di streaming.