啟用 Auto-Complete 的密碼欄位

low Web App Scanning Plugin ID 98081

語系：

概要

說明

在典型的表單型 Web 應用程式中，開發人員的常見作法是允許 HTML 表單內的 `autocomplete`，以改善頁面的可用性。啟用 `autocomplete` (預設) 後，瀏覽器可以快取先前輸入的表單值。

基於合法目的，這可讓使用者在多次填寫表單時，快速重新輸入相同的資料。

在使用者名稱欄位或/和密碼欄位上啟用 `autocomplete` 時，能夠存取受害者電腦的網路不法份子可以在造訪受影響的頁面時，讓受害者的憑證自動輸入。

掃描程式發現受影響的頁面中有一個表單的密碼欄位尚未停用 `autocomplete`。

解決方案

`autocomplete` 值可在兩個不同位置設定。
第一個位置，同時也是最安全的位置是，停用 `<form>` HTML 標籤上的 `autocomplete` 屬性，這會針對該表單內的所有輸入停用 `autocomplete`，在表單標籤中停用 `autocomplete` 的一個範例是 `<form autocomplete=off>`。
第二個不太理想的選項是停用特定 `<input> ` HTML 標籤上的 `autocomplete` 屬性。雖然從安全性的角度來看，這可能是不太理想的解決方案，但基於可用性的原因，這可能是首選方法，視乎表單的大小而定。停用密碼輸入標籤內的 `autocomplete` 屬性的一個範例是 `<input type=password autocomplete=off>`。