Несмотря на то, что отправленные данные формы безопасны
Может быть или не быть зашифрованным. Но он не безопасен, и браузер абсолютно корректен, чтобы запретить вам значок замка.
Если родительской страницей является http, то эта страница могла бы быть легко изменена атакой «человек посередине», чтобы указать обычно безопасный <iframe> на совершенно другой сервер, на который можно было рассчитывать. Или на родительской странице мог быть вставлен JavaScript, чтобы регистрировать любые нажатия клавиш, которые вы делаете, в форму и отправлять их на сервер злоумышленника.
У пользователя не было бы никакой возможности проверить, произошло ли это, если бы не просмотрел исходный код страницы, не прочитал и не понял каждую строку разметки и сценария внутри нее. Это абсолютно нереально.
Если вы не находитесь на странице, где весь контент защищен https, любая отправка с этой страницы небезопасна, независимо от того, где указана форма action.