Думаю, что речь идет о скорости загрузки и рекомендация для http/1.1.
В части кэширования иметь несколько файлов выгоднее, плюс дополнительно можно использовать http/2.
Согласен, iframe подменить можно. Думаю поэтому в цикле этих статей оговорено, что речь больше идет об универсальной, а не целенаправленной атаке. При подмене iframe в первом случае Вас быстро обнаружат. Тема второго случая в статьях не раскрывается.
Если атакующий успешно внедрил куда-либо какой-либо код, то, в общем и целом, говорить уже не о чем.
Предлагать использовать iframe для секьюрных данных…
iframe банки/платежные системы используют. Обозначенных Вами проблем скорее нет, чем они есть. Плюс iframe позволяет выдержать некоторые требования. Могу ошибиться, но на память iframe помогает, например, выдержать PCI DSS в той части, что данные не проходят через ваши сервера, а идут через сервера банка. Для SPA iframe хороший вариант. iframe в 2018 также хорош для определенных задач, как и в прошлом году.
В части кэширования иметь несколько файлов выгоднее, плюс дополнительно можно использовать http/2.
iframe банки/платежные системы используют. Обозначенных Вами проблем скорее нет, чем они есть. Плюс iframe позволяет выдержать некоторые требования. Могу ошибиться, но на память iframe помогает, например, выдержать PCI DSS в той части, что данные не проходят через ваши сервера, а идут через сервера банка. Для SPA iframe хороший вариант. iframe в 2018 также хорош для определенных задач, как и в прошлом году.
Мысли из серии You Are Not Amazon, Again