Вообще говоря, страница, которая обслуживает в форме, также должна быть https. Если это не так, то у пользователей нет никаких указаний до того, как они отправят форму, что она будет защищена (то есть значок блокировки не будет до после , который они отправят). Кроме того, злоумышленник может захватить начальную страницу и по-прежнему собирать ответы без предупреждения пользователей.
Если для параметра 'action' задано полное URL-адрес https, тогда данные будут зашифрованы при поступлении на сервер, но они все еще менее безопасны, чем все, что происходит в https с самого начала.