上QQ阅读APP看书,第一时间看更新
1.20 实验#20:testasp网站密码能自动保存在浏览器中
缺陷标题 testasp网站密码能自动保存在浏览器中。
测试平台与浏览器 Windows 7+Chrome或Firefox。
测试步骤
(1)打开testasp网站http://testasp.vulnweb.com/。
(2)按F12功能键,打开开发者模式,尝试登录网站。
期望结果 账户与密码不能自动保存在浏览器,防止信息泄露。
实际结果 账户与密码能自动保存在浏览器,如图1-38所示,缺少AUTOCOMPLETE='OFF'标签。
专家点评
在HTML中,input属性autocomplete默认为on,其含义为允许浏览器自动记录用户之前输入的值。很多时候需要对客户的资料进行保密,以防止浏览器软件或者恶意插件获取到。
图1-38 登录框缺少AUTOCOMPLETE='OFF'标签
例如,在输入用户名与密码、信用卡与交易密码等隐秘的信息时,需要在input中加入autocomplete="off"来关闭记录。在系统需要保密的情况下使用此参数。
一个网页中禁止浏览器收集用户E-mail地址的例子程序如下。
autocomplete属性规定输入字段是否应该启用自动完成功能。自动完成允许浏览器预测对字段的输入。当用户在字段开始输入时,浏览器基于之前输入过的值,应该显示在字段中填写的选项。
autocomplete属性适用于form,以及text、search、url、telephone、email、password、datepickers、range、color等input类型。