En un curso de capacitación de certificación en línea reciente, el instructor enumeró específicamente "No guardar el nombre de usuario / contraseña en el navegador" como una estrategia de mitigación CSRF (entre otras).
Entiendo por qué almacenar contraseñas en un navegador puede ser una mala idea (porque en esencia, ahora confías en que el navegador sea un administrador de contraseñas seguro), pero ¿cómo ayudaría esto específicamente a un mal actor en un ataque CSRF? / p>