描述:
在web應用form表單中,如果input標籤沒有指定“autocomplete”屬性爲“off”,則“autocomplete”的屬性會自動默認爲on。當web應用form表單中的密碼類型爲input標籤,autocomplete屬性爲on時,用戶若提交了一個新的用戶名和密碼時,瀏覽器將會詢問是否保存該用永久名和密碼信息,如果用戶選擇保存,則之後在顯示該web表單時,用戶名和密碼將會自動填充到對應的輸入框中,用戶名一旦保存密碼,攻擊者就可以通過本地瀏覽器緩存中獲取明文密碼,導致用戶密碼敏感信息泄露。
解決方案:
修改web應用form表單中密碼類型input標籤的“autocomplete”屬性爲“off”。 示例:
1)當密碼類型的input標籤沒有“autocomplete”屬性名時,如: <input type="password" name="password"> 則增加“autocomplete”屬性爲“off”即可,修改爲: <input type="password" name="password" autocomplete="off">
2) 當密碼類型的input標籤有“autocomplete”屬性名,但其屬性值爲“on”時,如: <input type="password" name="password" autocomplete="on"> 則修改“autocomplete”屬性爲“off”即可,修改爲: <input type="password" name="password" autocomplete="off">