Asp.net 在iframe中使用https如何安全？

我遇到了一个医疗服务提供商网站，它通过aspx提供页面服务。此提供程序在同一aspx页面中有新的客户端表单。我联系了建立网站的供应商，询问他们为什么不使用https。他们向我保证他们在iFrame中使用https加密

我的问题是：这个回答完全是废话吗

在我看来，入侵这个网站的一个非常简单的方法就是使用我自己的aspx页面来欺骗这个网站，并将其重定向到我。如果没有https，浏览器就不知道安全性，因此没有人能够知道它们是在我的网站上还是在真实的网站上

这是传输的所有HIPAA保护信息（在美国），因此有法律规定必须如何保护这些信息。承包商似乎很疏忽，但也许我遗漏了什么

---

仅供参考，我不是故意发布网站的，因为我不想邀请黑客攻击我认为不安全的东西。

如果不知道iFrame是如何使用的，很难评估网站可能存在的安全问题

但听起来他们可能会在不安全的表单上收集新客户的信息，然后将它们发布到https端点。正如特洛伊·亨特在中所解释的，这不是一种安全的做法

显然，正如您已经提到的，如果没有https，中间人攻击可以很容易地将完整的表单发布到攻击者站点，而用户不知道页面的完整性和/或来源是无法保证的

即使他们是通过https在iframe中提供表单，如果包含的页面是通过http提供的，iframe也可以被MiM攻击所取代