软件测试实验实训指南
上QQ阅读APP看书,第一时间看更新

1.20 实验#20:testasp网站密码能自动保存在浏览器中

缺陷标题 testasp网站密码能自动保存在浏览器中。

测试平台与浏览器 Windows 7+Chrome或Firefox。

测试步骤

(1)打开testasp网站http://testasp.vulnweb.com/。

(2)按F12功能键,打开开发者模式,尝试登录网站。

期望结果 账户与密码不能自动保存在浏览器,防止信息泄露。

实际结果 账户与密码能自动保存在浏览器,如图1-38所示,缺少AUTOCOMPLETE='OFF'标签。

专家点评


在HTML中,input属性autocomplete默认为on,其含义为允许浏览器自动记录用户之前输入的值。很多时候需要对客户的资料进行保密,以防止浏览器软件或者恶意插件获取到。

图1-38 登录框缺少AUTOCOMPLETE='OFF'标签

例如,在输入用户名与密码、信用卡与交易密码等隐秘的信息时,需要在input中加入autocomplete="off"来关闭记录。在系统需要保密的情况下使用此参数。

一个网页中禁止浏览器收集用户E-mail地址的例子程序如下。

autocomplete属性规定输入字段是否应该启用自动完成功能。自动完成允许浏览器预测对字段的输入。当用户在字段开始输入时,浏览器基于之前输入过的值,应该显示在字段中填写的选项。

autocomplete属性适用于form,以及text、search、url、telephone、email、password、datepickers、range、color等input类型。