En kritisk säkerhetsbrist har upptäckts där webbläsares autofyll-funktion för lösenord kan utnyttjas av XSS-attacker för att stjäla sparade lösenord. Denna sårbarhet är allvarlig och skiljer sig från vanliga attacker som CSRF eller SQL-injektion, då den direkt komprometterar användarens lösenord. Författaren diskuterar att en tidigare föreslagen lösning om att neka JavaScript åtkomst till lösenord skulle bryta AJAX-baserad autentisering. En annan attackvektor innebär att XSS kan ändra formulärets 'action'-fält för att skicka lösenordet till en tredje part. Den bästa rekommendationen är att helt undvika autofyll för lösenord, då säkerheten för denna funktion anses vara bristfällig.