web安全 应用表单密码类型输入启用了自动完成操作
https://blog.csdn.net/CHS007chs/article/details/52525326
在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为“on”。当web应用form表单中的密码类型的input标签的“autocomplete”属性为“on”时,用户若提交了一个新的用户名和密码时,浏览器将会询问用户是否保存该用户名和密码信息。如果用户选择保存,则之后在显示该web应用表单时,用户名和密码将会被自动填充到对应的输入框中。用户一但保存密码,攻击者就可以通过本地从浏览器缓存中获取明文密码,导致用户敏感信息泄露。
解决办法:
修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。
示例:
1)当密码类型的input标签没有“autocomplete”属性名时,如:
<input type="password" name="password">
则增加“autocomplete”属性为“off”即可,修改为:
<input type="password" name="password" autocomplete="off">
2) 当密码类型的input标签有“autocomplete”属性名,但其属性值为“on”时,如:
<input type="password" name="password" autocomplete="on">
则修改“autocomplete”属性为“off”即可,修改为:
<input type="password" name="password" autocomplete="off">