知乎的密碼輸入框的明文可以在控制台看到？

02-08

發現用angular的雙向綁定的輸入框或者react綁定的輸入框輸入的值都會實時更新到瀏覽器的HTML標籤上，那麼用戶的瀏覽器記住了某個頁面的密碼，下次別人一開你瀏覽器就可以直接看到你原始的明文密碼了。

你既然會問這個問題，那是不是就表明，如果你就是那個「別人」，懂前端，會用開發者工具，當你獲取到一台保存著別人的密碼的電腦後，除了看 Elements 面板中對應的 password input 元素的 value attribute 外，就再也不會用其它方式獲取保存的密碼了？

但實際情況是，如果你會用開發者工具，還可以通過下面幾種方式獲取到明文密碼：

2. 執行登錄操作，同時在 Network 面板查看 POST 過去的賬號密碼數據：

3. 如果你偷看的電腦的主人也是一個前端，他的開發者工具可能開啟了展現 shadow dom 的選項，那樣的話明文密碼也會實時展現在這個 shadow dom 中的 div 里，和你會的那種看密碼的方式一樣方便：

如果嘗試盜取密碼的人是一個不會用開發者工具的普通人，也能看到瀏覽器保存的明文密碼，在 chrome://settings/passwords：

但前提是你得知道這台電腦的系統密碼。

即便你無法獲取到明文密碼，盜取該瀏覽器中保存的 cookie，也可以在別的電腦上登錄此賬號，一定時間內和獲取到明文密碼的效果一樣。

所以問題就是，只會（只能）在開發者工具中看 value attribute 嘗試盜取賬號的人（場景）多不多？如果多的話，那這個算是個框架的安全問題，如果很少，就不算，我覺的不算。

Password is visible when inspecting the element · Issue #2417 · erikras/redux-formgithub.com

都能用你電腦了，還這麼費心費力使用開發者工具幹啥。。。

沒有絕對的安全，所有安全都是相對的

那隻能用faceId，除非砍了你的頭，休想拿到密碼？

看到以下文字：

『那麼用戶的瀏覽器記住了某個頁面的密碼，下次別人一開你瀏覽器就可以直接看到你原始的明文密碼了『

這種場合下，我覺得別人ctrl+c會更方便。。。

樓主你說這算不算bug？

只要你選擇了記住密碼，登錄的時候只需要在密碼框中點右鍵然後點檢查然後把這個input標籤的type從password改成text，回車，密碼立馬變成明文顯示。(以Chrome為例)

so？

這種問題感覺是黑前端開發的。。。

你既然預設了「下次別人能打開你的瀏覽器」這個前提，我能幹的事情多了去了，為什麼要看你的知乎密碼呢？別人既然有許可權訪問你的操作系統了，那操作系統真的沒辦法區分操作它的是不是你本人……

謝邀

1、對react和angular框架安全方面研究的不多

2、想了半天沒看懂你究竟是在問什麼，不知從哪方面回答你

記住密碼這東西。你就是用原生的。也是存到cookie也能看到。