Приходится иметь дело с некоторыми неправильно назначенными / перенаправленными сообщениями с сервера HTTPS на URL-адреса HTTP. Насколько это опасно для безопасности? Уязвимы ли они для чего-то вроде атаки «человек посередине»?
<form action="http://example.com/"> будет публиковать данные небезопасно, даже если страница <form> есть сам HTTPS. Данные, отправленные таким образом, могут быть перехвачены / обработаны MITMed.
По тем же причинам <form action="https://example.com/"> на странице HTTP отправляется безопасно. Однако страница <form> размещен в этой ситуации, может сам быть MITMed для внедрения вредоносного JavaScript или измененного action которые могут отправить данные в другое место.
Если вы работаете с конфиденциальными данными, и страница с формой, и действие формы необходимость быть HTTPS.