多事之夏，最近黑阔大牛们经常光顾我们网站，不甚荣幸，也让我们老大没少加班。上指纹系统，开safe_mode，重新编译PHP等等，安全警戒一度提到最高。

在用户登录方面，为了用户密码安全，我们在用户输完密码点击提交后，js自动给密码加上MD5，然后再传输到服务器。这样即使密码被嗅探到了，也是加密后的密码。

先看代码：

1 <script> 2 functionMD5(){ 3 //MD5加密算法，细节省略 4 } 5   6 functioncheck(){ 7 //提交前将用户的密码用MD5加密 8 form.password.value=MD5(form.password.value); 9 returntrue;10 }11 </script>12 <form οnsubmit="return check();">13 用户名:<input type="text"name="username"><br>14 密码：<input type="password"name="password"><br>15 <input type="submit"value="提交">16 </form>

 

 

假设浏览器已经开启了保存密码功能，用户在输完账号密码并提交后，点击保存密码。在这一过程中，主要发生了如下几个事件：

用户填写用户名密码 → 点击提交 → 触发check() → 将密码输入框的密码MD5加密 → 将数据提交到服务器

我们的浏览器是在哪一步记录了密码呢？

第二步，在点击提交按钮时，浏览器抓取了输入框的值，并保存下来，而后面发生的事情，它并不关心。 那么我们下次登录时，会发现密码输入框仍然是明文密码（虽然我们看不到，但可以通过密码长度判断）。

但是，只有在360浏览器中，保存的密码是长长的32位MD5加密后的密码。也就是说，360浏览器并不是在用户点击提交后记录输入框的内容，而是在最后一步，将数据提交到服务器时，360浏览器截取了这部分数据，并保存下来。

因为密码存在用户自己电脑上，并且不容易查看，所以从安全性考虑，不管保存明文还是密文，没什么区别。但是从保存密码的方式来看，360通过截取用户数据来记录密码，实在太流氓了。

91ri.org:文章写的很清楚了 就不说了

link：