自动填写表单有风险吗？

使用一些方法获得 Cookie，即使能控制账号，但其密码仍无法得知，随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点，是否能套出记住的密码来呢？
  分析下浏览器是如何自动填写页面表单的。其实很简单，浏览器发现页面 URL 和表单名匹配记录里的，就自动填上了。

 

要是在流量可控的网络里，剥离页面所有内容只剩表单，又会如何？

 

 保存着的密码仍能自动填上，并且可被脚本访问到！

如果在用户访问的页面里，创建大量的隐藏框架页，即可尝试获取各种网站保存着的账号了。（不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关）。可是即使框架页不自动填写，但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了，可悄悄跳转到如上那样的纯表单页，无论能否获取数据，都将继续跳转，一个接一个的尝试。。。直到用户切回窗口，再恢复到原先那个页面。

 

 由于泄露的是明文的账号和密码，即使数量不多，也能通过社工获取到用户的更多信息，最终导致更严重的泄露。
防范措施：
1、网站全站部署沃通SSL证书，即使泄露，也只是密文，没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录，还是浏览器自动填表，重要的账号都应慎用。浏览器的自动填表也应增加些安全策略，例如必须有用户的交互才开始填写，规定的时间里只能填有限次