正如您已经注意到的那样，已经在未加密的 www 站点上创建此令牌将从本质上消除通过 SSL 为安全站点运行的好处，因为攻击者可以在令牌传输到未加密站点时嗅探令牌，然后在加密站点上使用它伪装成用户。

还拥有从未加密站点到您登录的加密站点的链接，这会使您面临主动 MITM 攻击，攻击者将请求重定向到他们自己的站点以获取凭据。

如果没有特别的理由不这样做，您可以将 SSL 放在两个站点上，这将有助于消除上述风险。旧的不到处使用 SSL 的主要原因（性能）可能不适用于您，具体取决于您的站点的繁忙程度和负载的严重程度。

除此之外，答案将取决于您的架构。例如，两个站点是否共享一个数据库？如果是这样，您是否可以为用户设置两个不同的会话值（一个用于 www，一个用于安全站点）并将它们关联起来？

http://www.foo.co.uk上的登录按钮，点击后会打开一个 iframe

我强烈建议更改此设置，以便当前页面重定向到 SSL 站点或打开一个新窗口 - 作为用户，我希望在输入任何身份验证令牌之前在地址栏中看到“https”！

是的，在两个系统上使用相同的会话 ID 是不安全的，并且会使您面临会话劫持。理想情况下，您希望生成引用相同会话数据的不同值。由于您使用的是 PHP，因此添加自己的会话处理程序是微不足道的 - 您需要决定哪一方可以读取/写入另一方的内容。在两个会话 id 之间使用 HMAC 或任何其他功能映射不如创建一个随机的新标识符并在数据中链接两个会话那样安全。