Ils ne se combinent pas, si l'utilisateur utilise https, tout le contenu statique provient également de https. Lorsque vous chargez la timeline, aucune vidéo n'est chargée, seules les images d'aperçu par vidéo sont hébergées dans les CDN facebook ayant un accès https.
Même lorsque vous cliquez sur l'aperçu vidéo, un iframe est créé à la place, ce qui charge la vidéo, mais cela aussi vient de https et des serveurs facebook. Par exemple, j'ai partagé (aimé) une vidéo sur Vimeo et dans mon scénario j'ai vu l'aperçu, comme j'ai écrit l'image était hébergé sur le serveur CDN facebook et utilisé https. Quand je clique dessus un iframe a été créé à la place de l'image et sa source était:
https://s-static.ak.facebook.com/common/referer_frame.php
intérieur que iframe ils ont placé le code embed pour le widget vidéo vimeo qui a également été chargé dans https (https://vimeo.com).
Si vous mélangez des contenus http et https, le navigateur s'en plaindra. Chaque navigateur a sa propre façon de se plaindre bien sûr. Facebook ne peut pas contourner cela, et donc ils s'assurent juste d'utiliser https pour tout le contenu si l'utilisateur l'utilise.