0
在許多不使用AJAX的網站中,註冊表單通常會在失敗的嘗試中保留所有輸入數據,但是,通常密碼字段必須由用戶重新填寫。
我的問題是,爲什麼網絡開發者選擇這樣做?我的第一個想法是,他們試圖阻止惡意腳本在頁面加載時竊取密碼,但是,他們可以輕鬆地通過onKeyUp來做到這一點。
有什麼想法?
A
回答
1
瀏覽器具有專門用於密碼的功能,並且如果用戶明確允許瀏覽器保存僅限。大多數瀏覽器將問'你想存儲密碼嗎?'
你可以進一步保持一個主密碼來保護保存的密碼,當用戶不在他/她的機器上。
IMO,我不覺得保存密碼是錯誤的,因爲我讓瀏覽器保存我的密碼,所以我通常傾向於使用更強的密碼,因爲我傾向於使用自動生成的密碼,這通常很困難記住。此外,它可以幫助我避免使用多個網站的單個密碼變體。
有通過它,你也許能夠嗅探密碼,不管你是否保存與否的各種方式。網站通常有一個密碼恢復功能,可以鏈接到我的手機,以防萬一出現密碼破壞。
因此,網站應該允許用戶在瀏覽器中保存的密碼,這使對用戶的責任,這是他/她的決定如何,他/她想要使用的密碼。
1
因爲自動填充字段,如果你看一下標記,你會看到類似<input type="password" value="YOURPASSWORDHERE" />這是不是安全的那麼大。獲得標記比根據XSS監視JS事件更容易,因爲我可以請求一個頁面比我可以用JS處理DOM更容易。
0
這不是關於腳本,網站需要信任在其上下文中運行的腳本。
瀏覽器經常緩存頁面標記。您可能不希望在緩存中擁有密碼。
相關問題
- 1. 爲什麼密碼輸入字段會自動填充?
- 2. 爲什麼Chrome自動填充不填充大多數字段
- 3. 填充空密碼字段
- 4. 自舉密碼字段填充問題
- 5. 在Chrome中關閉「密碼」輸入字段的自動填充
- 6. 爲什麼這個自動填充字段不起作用?
- 7. jquery:預填充自動填充字段
- 8. iPhone自動填充密碼
- 9. 註冊密碼字段是自動填充的
- 10. 在鉻中自動填充,將文本字段識別爲密碼文本框
- 11. 根據$ _POST值填充字段
- 12. 提交自動填充(密碼輸入字段)
- 13. MYSQL自動填充字段
- 14. Primefaces自動填充字段
- 15. 自動填充類字段
- 16. 在edittext上自動填充密碼
- 17. SugarCrm自動填充字段
- 18. JavaScript填充字段值$ _POST的NULL?
- 19. Firefox自動填充用戶名/密碼
- 20. SugarCRM中的自動填充字段
- 21. 爲什麼CakePHP 1.3自動填充「修改」但不是「創建」字段?
- 22. Knockoutjs密碼綁定與自動填充不工作在Firefox中
- 23. Jquery自動填充不填充其他字段
- 24. 表單中的自動填充字段? []
- 25. 使用電子郵件/密碼防止自動填充字段中的chrome?
- 26. 什麼是自動填充輸入字段的最佳方式?
- 27. 什麼是Apple的自動填充字段名稱?
- 28. Ext JS的自動填充字段
- 29. 自動填充此html字段?
- 30. 爲什麼我的動態文本字段有時會填充,有時不填?
我想象它背後的想法是,一個響應不應該包含密碼。如果輸入的值在響應中設置,則響應包含一個密碼。 – David
這似乎比瀏覽器行爲更重要。 – BoltClock
這是一個很好的安全做法,密碼不應該保存或準備好自動完成(取決於你的偏執程度),並且如果他使用的密碼不符合安全要求,爲什麼還要保留它? –