web保险经验之谈1-关闭登陆页面的自动填充功能
web安全经验之谈1--关闭登陆页面的自动填充功能
一:浏览器都有自动保存用户输入数据和自动填充数据的能力。为了保障用户名和口令的安全,必须关闭自动填充选项,指示浏览器不要存储登陆窗口中用户名,口令等敏感信息。
实现方式:
1,登陆页面加载完毕,用javascript清除用户名,密码框中的数据。
2,关闭登陆表单的自动填充功能。
注:上述方式使用与ie,谷歌浏览器如果选择记住密码,则不起作用
例如:
一:浏览器都有自动保存用户输入数据和自动填充数据的能力。为了保障用户名和口令的安全,必须关闭自动填充选项,指示浏览器不要存储登陆窗口中用户名,口令等敏感信息。
实现方式:
1,登陆页面加载完毕,用javascript清除用户名,密码框中的数据。
2,关闭登陆表单的自动填充功能。
注:上述方式使用与ie,谷歌浏览器如果选择记住密码,则不起作用
例如:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <script type="text/javascript"> function clearUserNameAndPassword() { document.getElementById("userName").value = ""; document.getElementById("password").value = ""; } </script> <body onload="clearUserNameAndPassword();"> This is my JSP page. <br> <form action="dealLogin.jsp" method="post" autocomplete="false"> <input type="text" name="userName" id="userName" autocomplete="false"/> <input type="password" name="password" id="password" autocomplete="false"/> <input type="submit" name="登陆"/> </form> </body> </html>