焰影 分享
@yftzeng_ - 用 #CSS 偷密碼 (Password)。 倘若網頁被偷放了這段,我們該怎麼防...
同作者的 FB 上有人留言防禦做法:
這手法要在 DOM 上塞屬性(attributes)進去才有效果,單純的打字應該是無法觸發的,所以防禦方式可以是:
1. type="password" 不要跟 value 屬性並存,實務上也沒看過有人在 password input 塞 value
2. 撇開截圖範例而是討論相似手法的攻擊的話,應該可以從 CSP 下手
同作者的 FB 上有人留言防禦做法:
這手法要在 DOM 上塞屬性(attributes)進去才有效果,單純的打字應該是無法觸發的,所以防禦方式可以是:
1. type="password" 不要跟 value 屬性並存,實務上也沒看過有人在 password input 塞 value
2. 撇開截圖範例而是討論相似手法的攻擊的話,應該可以從 CSP 下手