1.20　实验#20：testasp网站密码能自动保存在浏览器中

缺陷标题　testasp网站密码能自动保存在浏览器中。

测试平台与浏览器　Windows 7+Chrome或Firefox。

测试步骤

（1）打开testasp网站http://testasp.vulnweb.com/。

（2）按F12功能键，打开开发者模式，尝试登录网站。

期望结果　账户与密码不能自动保存在浏览器，防止信息泄露。

实际结果　账户与密码能自动保存在浏览器，如图1-38所示，缺少AUTOCOMPLETE='OFF'标签。

专家点评

在HTML中，input属性autocomplete默认为on，其含义为允许浏览器自动记录用户之前输入的值。很多时候需要对客户的资料进行保密，以防止浏览器软件或者恶意插件获取到。

图1-38　登录框缺少AUTOCOMPLETE='OFF'标签

例如，在输入用户名与密码、信用卡与交易密码等隐秘的信息时，需要在input中加入autocomplete=＂off＂来关闭记录。在系统需要保密的情况下使用此参数。

一个网页中禁止浏览器收集用户E-mail地址的例子程序如下。

autocomplete属性规定输入字段是否应该启用自动完成功能。自动完成允许浏览器预测对字段的输入。当用户在字段开始输入时，浏览器基于之前输入过的值，应该显示在字段中填写的选项。

autocomplete属性适用于form，以及text、search、url、telephone、email、password、datepickers、range、color等input类型。