¿Es realmente un problema si devuelve la contraseña cuando falla la validación en un formulario de registro?
Comprendo que el html que se devuelve puede guardarse en la computadora de la persona que se está registrando y luego, si una persona maliciosa accede a esa computadora, puede ver la contraseña que ingresó el usuario al buscar en sus archivos en caché.
PERO ... ¿Ya no estás jodido cuando alguien tiene acceso físico a tu computadora? Si puede ver los archivos en caché de su navegador, es probable que pueda instalar cualquier programa que desee en la máquina. Además, muchas personas almacenan su contraseña directamente en su navegador sin una contraseña maestra. Si tiene acceso a la computadora, podría simplemente verificar todas las contraseñas que el usuario guardó.
EDIT : esta es una pregunta similar: enlace