Desabilitar o Autocompletar em Campos Input

Em campos de login, senha, número de cartão de crédito, CPF e informações que não podem ser compartilhada com usuários mal-intencionados é uma boa prática incluir o seguinte atributo AUTOCOMPLETE=”off”.

Dessa forma o autocompletar fica desabilitado e o browser não salva a senha do usuário.

Exemplo:

<input type="text" name="campo" autocomplete="off" />

Como esse atributo não é válido pela W3C o pessoal costuma inserir o autocomplete="off" via javascript:

// Utilizando JQuery
jQuery('campo').attr('autocomplete','off');
// Ou Javascript padrão
campo.setAttribute('autocomplete','off');

Pode-se utilizar a solução do javascript para adicionar esse atributo em campos do ADF e/ou elementos onde não temos acesso direto ao código HTML gerado.

Mais informações sobre a vulnerabilidade em:

https://www.owasp.org/index.php/Testing_for_Vulnerable_Remember_Password_and_Pwd_Reset_%28OWASP-AT-006%29

Sobre: Thiago Galbiatti Vespa

Thiago Galbiatti Vespa é mestre em Ciências da Computação e Matemática Computacional pela USP e bacharel em Ciências da Computação pela UNESP. Coordenador de projetos do JavaNoroeste, membro do JCP (Java Community Process), consultor Oracle, arquiteto de software de empresas de médio e grande porte, palestrante de vários eventos e colaborador de projetos open source. Possui as certificações: Oracle Certified Master, Java EE 5 Enterprise Architect – Step 1, 2 and 3; Oracle WebCenter Portal 11g Certified Implementation Specialist; Oracle Service Oriented Architecture Infrastructure Implementation Certified Expert; Oracle Certified Professional, Java EE 5 Web Services Developer; Oracle Certified Expert, NetBeans Integrated Development Environment 6.1 Programmer; Oracle Certified Professional, Java Programmer; Oracle Certified Associate, Java SE 5/SE 6