密码
输入字段应包含将其autocomplete属性设置为 off 似乎是一个常见的建议。
https://www.owasp.org/index.php/OWASP_Application_Security_FAQ#Am_I_totally_safe_with_these_directives.3F
https://portswigger.net/kb/issues/00500800_password-field-with-autocomplete-enabled
但似乎大多数浏览器都忽略了此属性,并且会提示用户存储他们的密码,而不管它的存在/值如何。
这是一个毫无意义的建议吗?作为安全最佳实践,密码字段是否应包含autocomplete="off" ?
不,建议并非毫无意义,问题是客户端代理也可以覆盖此设置。但是也有办法解决这个问题,你可以按照这里的讨论 堆栈溢出 讨论