Nem fogod minden egyes online fizetésnél végigellenőrizni az összes többszörösen beágyazott iframe-ben levő HTTP request-et (aminek az URL-jét sosem látod, csak debuggerrel nyerhető ki), meg a hozzájuk tartozó certet, amiben még normális esetben sem utal semmi arra, hogy a bankodé lenne (pedig az)
Ezt egyrészről nem is értem, hogy a security-re papíron olyan kínosan ügyelő bankok hogy a fenébe engedélyezik, hogy a fizetést megerősítő oldaluk iframe-ben lehessen beágyazva a payment providerbe. Alapelv, hogy biztonságkritikus dolgokat nem engedünk iframe-ként működni.
Másrészről persze értem, hogy biztosan kimérték ezt A/B teszttel, hogy jobb a UX iframe-mel, meg több pénz is lesz így elköltve és a vásárlás sikeresen befejezve, ami persze jó a banknak is.