Dovresti esaminare le opzioni della sandbox HTML5. Sebbene questi non siano supportati in tutti i browser, possono essere utili per limitare alcune azioni che l'utente malintenzionato potrebbe intraprendere, ad esempio reindirizzare l'utente (sostituendo la pagina) anziché essere contenuto nell'iframe.
Grazie allo stesso criterio di origine, JavaScript e altri plug-in dovrebbero rimanere completamente contenuti all'interno dell'iframe.
Ovviamente c'è il rischio di una vulnerabilità nella configurazione dell'utente. Questo è più probabile in un plug-in che con JavaScript. Tuttavia ritengo che la differenza di rischio non sia molto piccola quando si confrontano iframe vs reindirizzamento come si sta chiedendo. Direi che il reindirizzamento (o finestra popup) è sempre leggermente più sicuro.
Idealmente, permetti solo tale reindirizzamento o iframing al tuo Partner, e non a 'qualsiasi sito casuale' . Gli utenti meno esperti di tecnologia sono più facilmente indotti a scaricare malware da siti maliziosi e ingannevoli. Se si consente solo un insieme selezionato di siti (ovvero solo partner come dici tu), è meno probabile che tu stia accidentalmente guidando gli utenti verso tali imbroglioni.
@ paj28 rende un commento eccellente :
With an iframe, the browser address bar still shows your site, so if an external site asked for a password, users would think they're telling your site the password, when in reality they're telling the external site.
Questo non ha effetto sulla funzione Ricorda password del browser, ma @ paj28 è corretto che gli utenti non possano realizzare la presenza di un iframe.
Suggerirei che una barra di intestazione sopra l'iframe sia visibile per indicare chiaramente che il visitatore si trova sul sito di qualcun altro e per fornire loro un modo conveniente per tornare alla sicurezza di una pagina sul tuo sito.
Come per il reindirizzamento, mentre la barra degli URL mostrerebbe il sito di destinazione (a differenza di iframe), fornisce anche al sito di destinazione il pieno controllo della visualizzazione del sito (non è possibile includere una barra di intestazione) in modo da renderlo più facile loro per phishing la password dell'utente, dato che molti utenti si basano su segnali visivi (cioè un logo e intestazione ufficiale) più della barra degli URL.
Infine, vorrei sottolineare che i siti ben noti, prima di reindirizzare un utente, fornirebbero un breve annuncio che potrebbe non essere sicuro. Personalmente trovo fastidiose tali notifiche, ma potrebbe essere utile da un punto di vista della sicurezza.