自动填充密码
IE浏览器有一个很懒人的功能,帮你记住某个网站的登陆表单的用户名和密码:
点“是”后,只要下次你正确输入用户名,IE就会自动帮你填充正确的密码。
而且,这个密码,通过查看网页的源文件是看不到的。
但,看不到就安全了么??
极度危险!
测试如下:
网页源文件:
form没有设定name
form有name
自动填充密码效果
效果:
我做了两个表单,都分别有一个密码输入框。不同的是,第一个的表单没有设定name字段,而另一个有。
将网页代码保存进HTML后用IE打开,然后在地址栏输入:
javascript:alert("第一个:"+document.all.password1.value+"\r\n第二个: "+document.all.password2.value);
然后回车,你就可以看到你之前输入的密码了:
解决方法
另,对于第二个表单,你也可以用这个方式:
javascript:alert(document.form.password2.value);
以上方法,关键是要得到表单中密码输入框的name,但这个是很简单的,因为源文件里有。
那么,保存过密码的用户该怎么办呢?
很简单,在Internet选项(IE浏览器的工具菜单里,或者桌面的Internet Explorer图标上右击,属性就可以打开)里,切换到“内容”:
点击“自动完成”,出现如下对话框:
点“清除密码”就可以了。顺便,将“表单上的用户名和密码”勾掉,就不会再问你是否保存了。
另,COOKIE,则可以通过在本地构建一个目标网站的域名环境,来获得保存的密码。(利用hosts文件来实现域名的伪装。不过,一般安全一点的程序都不会将密码的明文,甚至是用户名的明文,保存在cookie里。)
网友评论