web安全 应用表单密码类型输入启用了自动完成操作

https://blog.csdn.net/CHS007chs/article/details/52525326

在web应用form表单中，如果input标签没有指定“autocomplete”属性为“off”，则“autocomplete”的属性会自动默认为“on”。当web应用form表单中的密码类型的input标签的“autocomplete”属性为“on”时，用户若提交了一个新的用户名和密码时，浏览器将会询问用户是否保存该用户名和密码信息。如果用户选择保存，则之后在显示该web应用表单时，用户名和密码将会被自动填充到对应的输入框中。用户一但保存密码，攻击者就可以通过本地从浏览器缓存中获取明文密码，导致用户敏感信息泄露。

解决办法：

修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。 

示例： 

1）当密码类型的input标签没有“autocomplete”属性名时，如：

   <input type="password" name="password">

   则增加“autocomplete”属性为“off”即可，修改为：

   <input type="password" name="password" autocomplete="off">

 

2) 当密码类型的input标签有“autocomplete”属性名，但其属性值为“on”时，如：

   <input type="password" name="password" autocomplete="on">

   则修改“autocomplete”属性为“off”即可，修改为：

   <input type="password" name="password" autocomplete="off">