描述:
在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签,autocomplete属性为on时,用户若提交了一个新的用户名和密码时,浏览器将会询问是否保存该用永久名和密码信息,如果用户选择保存,则之后在显示该web表单时,用户名和密码将会自动填充到对应的输入框中,用户名一旦保存密码,攻击者就可以通过本地浏览器缓存中获取明文密码,导致用户密码敏感信息泄露。
解决方案:
修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。 示例:
1)当密码类型的input标签没有“autocomplete”属性名时,如: <input type="password" name="password"> 则增加“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off">
2) 当密码类型的input标签有“autocomplete”属性名,但其属性值为“on”时,如: <input type="password" name="password" autocomplete="on"> 则修改“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off">