漏洞:Password type input with auto-complete enabled

最新推荐文章于 2023-11-23 10:01:42 发布
原创 最新推荐文章于 2023-11-23 10:01:42 发布 · 4.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文讨论了DHTML中INPUT标签默认的自动填充功能可能导致的密码泄露风险,并提供了将所有INPUT标签手工设置为autocomplete=off的解决方案,以增强安全性。
  原因:在DHTML里面,假如INPUT标签没有指定“autocomplete”属性为off,则自动默认为on,致使当input type=password 时会自动匹配,这样用户的密码会被存储在计算机内,导致不安全的因素
     修改:所有的 INPUT的标签手工加入 autocomplete=off
    <INPUT TYPE="password" >
Bowen_Zhang
关注
nginx+mysql8+php8建站
yangZHyu的博客
03-07 3392
nginx+mysql8+php8+rhel7.6建站(20220111) 1、Nginx安装配置 1.1 安装前工作 ​ 首先更新系统软件源,使用以下命令更新系统 - [root@swordman ~]# yum update 有关两个命令的一点解释: yum -y update - 升级所有包,改变软件设置和系统设置,系统版本内核都升级 yum -y upgrade - 升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变 依赖包安装 [root@swordman src]# yum -
centos7安装配置mysql的正确姿势
wenbingping的专栏
01-22 2062
centos 安装mysql其实是很基础的事情,但是花了大半天时间,用网上很多教程都没有安装成功,这里却安装成功了,因此进行记录。
解决chrome、Firefox会密码框填充(type=’password’)问题
01-08
我的项目使用的是elementUI,在做登录的时候遇到在chrome上密码框自动填充和手动填充的问题 chrome填充样式: 我们需要去掉这个烦人的东西, 网上说的解决办法:一部分加属性 auto-complete=“new-password” , 另一部分auto-complete=“off” ,但是这两种属性根本不起作用 然后 解决办法: 来了 使用 input 的属性 readonly 解决,直接贴代码 :readonly=“readonly” @blur=“readonly = true” @click.native=“readonly = false” 刚开始的时候让密码框为只读状
input输入框type=“password“时autocomplete=“off“失效问题
qin_yulinling的博客
07-19 2076
需求: 实现密码输入框,并不使用记忆功能 问题: 当type="password"时autocomplete="off"、autocomplete="new-password"均不管用 解决方法: 将type设为text类型 type="text" 并将输入框内容设置圆点显示,如下: text-security:disc; -webkit-text-security:disc; -mox-text-security:disc; eg: html: <input type='te.
auto complete输入框 自动提示
shuxiaomeng的专栏
05-06 696
http://www.websbook.com/javascript/jQuerydssgjczdppcj_17855.htmlhttp://www.oschina.net/p/jquery.autocomplete
浏览器的记住密码,autocomplete= “new-password
weixin_40362806的博客
11-23 1386
处理密码都会自动填充
浏览器的记住密码,autocomplete= "new-password"解决
热门推荐
aydongzhiping的博客
08-10 2万+
在项目中有记住密码的勾选功能,要求无论是否勾选都记住帐号,在逻辑上都走通后,测试阶段出现了bug:无论是否勾选记住密码,密码都会自动填充。 经过排查,是因为浏览器的记住密码功能影响的。目前最优的解决办法是在input type="password"输入框中加上autocomplete = "new-password"属性,163邮箱也是又用到的。 在寻找解决办法的时候有了解到浏览器记住密码自动...
使用yum repository 安装MySQL 8.0
weixin_45727832的博客
02-23 637
使用yum repository 安装MySQL 8.0 系统:CentOS 6.8 前期准备:系统初始化(关闭防火墙、SELINUX、配置网卡及主机名等) yum源准备: wget http://file.kangle.odata.cc/repo/Centos-6.repo wget http://file.kangle.odata.cc/repo/epel-6.repo 1、下载并安装MySQL源安装包 下载地址:https://dev.mysql.com/downloads/repo/yum/ [ro
使用Intel NCS算力棒 安装部署记录 VirtualBox With Ubuntu16.04 Source Aliyun
夜澜偶作庄周梦 酒后聊为楚客狂
12-08 3652
安装环境:VirtualBox  操作系统:Ubuntu 16.04 Desktop 注:VirtualBox需要安装扩展包,后面需要用到USB3.0 1、安装ubuntu,安装完毕后ubutu系统中切换镜像源,如切换成阿里云等,开始升级ubuntu sudo apt-get update sudo apt-get upgrade #deb包 deb http://mirrors.aliy...
Centos 7 安装MariaDB
JackDan9
11-02 689
Centos 7 安装MariaDB 系统信息 如下: [root@big-creen yum.repos.d]# cat /etc/*release CentOS Linux release 7.8.2003 (Core) NAME="CentOS Linux" VERSION="7 (Core)" ID="centos" ID_LIKE="rhel fedora" VERSION_ID="7" PRETTY_NAME="CentOS Linux 7 (Core)" ANSI_COLOR="0;31"
input[type='password']在chrome上自动填入带来的样式问题最终解决办法
weixin_43831534的博客
05-14 2528
/* 输入框在chrome上的自动填入背景色 v2*/ 方法一: 给input加上以下样式 input:-webkit-autofill { -webkit-box-shadow: 0 0 0 1000px #293d6b inset !important; 自动填入后的背景颜色 } input:-webkit-autofill { -webkit-text-fill-color: #ff...
web扫描漏洞解决办法
dpp10683401的博客
03-25 1693
漏洞修改: 1. Apache JServ protocol service漏洞(服务器问题) 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响。 2、HTML form without CSRF protection 问题出在表单提交没有保护,可以伪造一个表单进行提交。 解决办法: 1、form表单:在拦截器初次访问页面或刷新页面时产生序列数,...
Firefox中autocomplete="off" 设置不起作用Bug
zhouruitao的专栏
10-12 856
在实现补全提示功能时(Suggest),都会给输入框(Input)元素添加autocomplete属性,且值设为off。自动补全也成自动完成,最经典的如google的搜索框,输入一个字母后会给用户很多提示选择   查看源码会发现input输入框加上了autocomplete="off",此为了屏蔽浏览器表单默认的记忆功能。淘宝,百度的搜索框也有该属性。   autocomplete 属...
浏览器表单默认记忆功能inputautocomplete="off"属性
weixin_34110749的博客
05-23 785
一般情况下浏览器会有自动记录密码等的功能,但是有时候我们不需要这样的功能,下面有两种情况下关闭记忆功能有效: 1:在form中,如果有input[type=password],autocomplete="off"是不起作用的; 2:没有form,设置input[type=text],autocomplete="off"可以起作用: <input name="password" type...
Web安全漏洞笔记整合
墨鱼菜鸡
04-12 232
高危漏洞 1.Struts2代码执行漏洞:struts2就是一个框架,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发...
密码字段通过 GET 方法传输
LuckySec
12-20 1673
密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。
最近WEB安全扫描问题汇总
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
<el-input type="password" auto-complete="new-password" autocomplete="new-password" ></el-input>这个方法还是不行,谷歌不生效
最新发布
02-21
<think>嗯,用户提到在使用el-input组件时,设置了typepassword,并且添加了auto-completeautocomplete属性为"new-password",但谷歌浏览器不生效。首先,我需要确认用户具体遇到的问题是什么。可能是在自动填充密码时,浏览器没有正确识别这个输入框,导致自动填充功能没有按预期工作。 首先,我应该回忆一下HTML中autocomplete属性的正确用法。autocomplete属性用于控制表单字段的自动填充功能。对于密码字段,常用的值包括"current-password"和"new-password"。通常,"new-password"会提示浏览器为该字段建议一个新密码,而不是保存的旧密码。但有时候浏览器的实现可能会有差异,特别是不同的浏览器可能有不同的处理方式。 用户可能混淆了auto-completeautocomplete的写法。在HTML中,正确的属性名是autocomplete,而不是auto-complete。可能用户同时写了两种写法,导致其中一个无效。需要检查代码是否正确。 接下来,考虑element-ui或element-plus的el-input组件是否对autocomplete属性有特殊处理。有时候UI框架可能会对原生属性进行封装或修改,可能需要查看文档确认。例如,element-ui的el-input是否支持直接传递autocomplete属性,或者是否需要使用特定的prop名称。 另外,用户可能没有正确绑定属性。在Vue中,如果使用:autocomplete="new-password",可能需要使用字符串绑定,或者检查是否有拼写错误。例如,是否应该写成autocomplete="new-password"作为静态属性,或者使用v-bind:autocomplete="'new-password'"。 还有可能浏览器的自动填充策略导致问题。某些浏览器可能会根据输入框的name、id或周围的表单结构来决定是否自动填充。用户可能需要检查是否有其他因素干扰,比如输入框的name属性是否设置为"password"或其他常见名称,导致浏览器优先使用保存的密码而不是新密码建议。 此外,建议用户尝试其他autocomplete值,如"current-password",看看是否有效。或者使用off来完全禁用自动填充,但这可能不符合用户需求。另外,可以尝试在表单上设置autocomplete属性,或者在周围的input字段上设置,确保整个表单的自动填充行为一致。 如果问题仍然存在,可能需要进一步测试和排除其他可能因素,比如浏览器缓存、已保存的密码记录,或者是否有其他浏览器扩展干扰了自动填充功能。建议用户清除浏览器缓存或尝试隐身模式测试,以排除缓存问题。 最后,可能需要查看element-ui的GitHub issues,看看是否有其他用户遇到类似的问题,或者是否有已知的解决方案。如果框架本身存在限制或bug,可能需要寻找替代方法,比如使用原生input元素代替el-input,或者结合使用autocomplete属性和其他属性来达到预期效果。</think> `<el-input>` 的密码输入框在谷歌浏览器中自动填充(`autocomplete`)失效的问题,以下是详细分析和解决方案: --- ### **问题原因** 1. **属性拼写错误**:HTML 原生属性是 `autocomplete`,而非 `auto-complete`。Element UI 的 `<el-input>` 可能需要明确传递原生属性。 2. **浏览器兼容性**:不同浏览器对 `autocomplete` 的支持策略不同,尤其是对密码管理器的处理。 3. **框架封装限制**:Element UI 的 `<el-input>` 可能未完全透传 `autocomplete` 属性到原生 `<input>` 标签。 -- ### **解决方案** #### 1. **确保正确绑定原生属性** 在 Vue 中,使用 `v-bind` 的[属性继承](https://v3.vuejs.org/guide/component-attrs.html)语法,强制将 `autocomplete` 绑定到原生 `<input>` 标签: ```html <el-input type="password" v-bind="{ autocomplete: 'new-password' }" ></el-input> ``` #### 2. **添加 `name` 或 `id` 属性** 浏览器可能依赖 `name` 或 `id` 识别字段类型,尝试添加: ```html <el-input type="password" name="new-password" id="new-password" autocomplete="new-password" ></el-input> ``` #### 3. **组合使用 `current-password` 和 `new-password`** 在登录和注册场景中,明确区分字段类型: - **登录页**(填充已有密码): ```html <el-input type="password" autocomplete="current-password" ></el-input> ``` - **注册/重置页**(生成新密码): ```html <el-input type="password" autocomplete="new-password" ></el-input> ``` #### 4. **强制关闭浏览器自动填充** 如果不需要自动填充,可以彻底禁用: ```html <el-input type="password" autocomplete="off" readonly onfocus="this.removeAttribute('readonly')" ></el-input> ``` 通过 `readonly` 属性绕过浏览器的自动填充机制。 #### 5. **直接使用原生 `<input>` 标签** 若问题仍存在,可能是 Element UI 的兼容性问题,可替换为原生标签: ```html <input type="password" class="el-input__inner" <!-- 保持样式一致 --> autocomplete="new-password" > ``` --- ### **验证步骤** 1. 清除浏览器缓存或在无痕模式下测试。 2. 确保已保存的密码数据不会冲突(如测试时使用新账号)。 3. 检查控制台是否有警告或错误(如属性被框架忽略)。 --- ### **底层机制** 浏览器(如 Chrome)会根据 `autocomplete`、`name`、`id` 及页面上下文(如表单是否包含 `username` 字段)决定是否提示保存密码。注册页面中,`autocomplete="new-password"` 通常更有效。 如果问题仍未解决,建议在 [Element UI GitHub Issues](https://github.com/ElemeFE/element/issues) 中反馈具体场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值