To zły pomysł — nie róbcie tego. Jedna z tych stron nie używa protokołu HTTPS, a na drugiej trzeba mieć włączony JavaScript, co na pewno zostanie wykorzystane do zdeanonimizowania użytkowników.