具有自动完成功能的密码字段

low Web App Scanning 插件 ID 98081

语言：

简介

具有自动完成功能的密码字段

描述

在典型的基于表单的 Web 应用程序中，开发人员通常的做法是允许在 HTML 表单中启用“autocomplete”以提高页面的可用性。在默认启用“autocomplete”的情况下，浏览器可以缓存之前输入的表单值。

出于合法目的，这可让用户在多次填写表单时快速重新输入相同的数据。

当在用户名和密码字段中的任一/或两者启用了“autocomplete”时，可访问受害者计算机的网络犯罪分子可利用此缺陷，在访问受影响页面时自动输入受害者的凭据。

扫描程序已发现受影响页面中的表单包含未禁用“autocomplete”的密码字段。

解决方案

可在两个不同的位置配置“autocomplete”值。
首要且最安全的做法是在“<form>”HTML 标签上禁用“autocomplete”属性。这会禁用该表单中所有输入内容的“autocomplete”属性。在表单标签内禁用“autocomplete”的一个示例是“<form autocomplete=off>”。
第二个稍微次优的选择是针对特定的“<input>”HTML 标签禁用“autocomplete”属性。虽然从安全角度而言，这可能是不太想要的解决方案，但出于可用性原因，它可能是首选方法（具体取决于表单的大小）。禁用密码输入标签中“autocomplete”属性的示例为：<input type=password autocomplete=off>。