Autocomplete HTML Attribute Not Disabled for Password Field
漏洞详细
Web系统被识别到支持自动完成功能,这样通过浏览器可以获取到敏感信息。
ps:
需要根据实际需求,人为判断漏洞是否需要修复。
项目中有时会用到自动补全查询,就像Google搜索框、淘宝商品搜索功能,输入汉字或字母,则以该汉字或字母开头的相关条目会显示出来供用户选择, autocomplete插件就是完成这样的功能。
autocomplete官网 : http://bassistance.de/jquery-plugins/jquery-plugin-autocomplete/ (可下载jQuery autocomplete插件)
解决
代码 -> 像是密码之类的敏感信息的字段,设置 autocomplete= "off"
验证
查看HTML解析,对应的字段autocomplete属性是否为on。