标签: security web-applications owasp
似乎通常建议密码输入字段应包含autocomplete属性设置为off。
autocomplete
off
https://www.owasp.org/index.php/OWASP_Application_Security_FAQ#Am_I_totally_safe_with_these_directives.3F
https://portswigger.net/kb/issues/00500800_password-field-with-autocomplete-enabled
但似乎大多数浏览器都会忽略此属性,并会提示用户存储密码,无论其存在/值如何。
这是一个毫无意义的建议吗?作为安全性最佳做法,密码字段是否应包含autocomplete="off"?
autocomplete="off"
答案 0 :(得分:0)
不推荐不是没有意义的,问题是客户端代理也可以覆盖此设置。但也有办法解决这个问题,你可以按照StackOverFlow Discussion