web安全经验之谈1--关闭登陆页面的自动填充功能

一：浏览器都有自动保存用户输入数据和自动填充数据的能力。为了保障用户名和口令的安全，必须关闭自动填充选项，指示浏览器不要存储登陆窗口中用户名，口令等敏感信息。

实现方式：

1，登陆页面加载完毕，用javascript清除用户名，密码框中的数据。

2，关闭登陆表单的自动填充功能。

注：上述方式使用与ie，谷歌浏览器如果选择记住密码，则不起作用

例如：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  
  <script type="text/javascript">
     function clearUserNameAndPassword()
     {
    	 document.getElementById("userName").value = "";
    	 document.getElementById("password").value = "";
     }
  </script>
  
  <body onload="clearUserNameAndPassword();">
    This is my JSP page. <br>
    <form action="dealLogin.jsp" method="post" autocomplete="false">
      <input type="text" name="userName" id="userName" autocomplete="false"/>
      <input type="password" name="password" id="password" autocomplete="false"/>
      <input type="submit" name="登陆"/>  
    </form>
  </body>
</html>