在http：//页面上使用(理论上)https：//的 AJAX弹出窗口(或iframe)会出现两个问题：

>攻击者可以拦截该页面并用自己的链接替换该链接.
>这可以防止用户检查它所连接的站点.

第一个问题与this question有关(不是特定于AJAX弹出窗口,而是通过普通HTTP登录页面,also discussed on Security.SE).这与this OWASP recommendation相反：

从本质上讲,MITM可以修改您用来服务该登录框的页面以用它们自己替换它：用户将无法注意到差异(至少在它为时已晚).

第二个问题是,看到你已经连接(并且还要连接下一步)到地址栏中你想要的网站,这实际上是一件好事.任何人都可以拥有有效的https：//站点：mybank.example.COM和attackers.example.com都可以拥有受信任机构颁发的有效证书.
如果我连接到我的银行,我想知道我的银行是通过HTTPS连接的.从弹出窗口或iframe向https：//站点发送凭据会隐藏真实的目标网站.

当初始页面通过HTTPS提供时,也会发生此问题,不幸的是3-D Secure system(这些人应该知道更好,真的！).

简而言之,不要使用iframe或弹出窗口,并且通过HTTPS提供登录表单的页面.