我们有一个Web应用程序的通用登录表单,没有什么花哨的东西,比如
...<input type="text" value="Username" /><input type="password" value="" />...
我的同事辩称,拒绝用户在登录表单中复制和粘贴将提高应用程序的安全性.我认为不然,因为密码输入已经受到浏览器本身的保护(您无法从输入元素复制密码).
但是,我们将以下JScripts添加到输入元素:
... onpaste="return false;" oncopy="return false;" ondrag="return false;" ondrop="return false;" ...
测试人员批评说仍然可以使用CRT键"拖动"副本,当然它只会复制*字符而不是密码,但它仍然允许从表单中复制值,因此测试用例被返回失败了.
背景太多了.
我的问题:
在登录表单中否认任何类型的复制和粘贴是否值得额外努力,是否有任何安全性改进?
谢谢西蒙