如果这么简单，我们就不会使用浏览器了。但是，如果您的浏览器存在漏洞，则可能会发生类似的事情。

使浏览器保持最新并运行脚本阻止程序，如无脚本，以防止此类攻击。

如果您的浏览器自动填充密码，那么即使您不使用它来登录，附加组件/扩展程序/插件也可能会获取您的凭据。

此外，一些密码管理器可能在<form action="…">站点的 URL 上而不是托管该页面的 URL 上键入密码，从而允许攻击者使用登录表单获取目标站点的凭据，可能会呈现在视野之外。我不确定这是否仍然存在很大风险。

另请参阅网站是否应在所有表单上禁用表单自动完成功能？

我不认为它可以像其他人所说的那样窃取您已经存在的密码的问题，更多的是它是否可以安装恶意软件以在您下次输入密码时获取您的密码。在单击链接之前，您应该先扫描它们在安全扫描或类似的东西上。我建议您在执行任何可能泄露敏感信息的操作之前格式化计算机。

然而，对于已经存在的密码，从它的声音来看，这将是一个 0 天的漏洞利用，因此他们可以通过将其上交以获得更多的漏洞赏金来获得更多收益，而对大多数人使用它会有点浪费。

简而言之，密码管理器（包括浏览器内置的）旨在防止这种情况发生，因此不应该发生。如果是这样，那么其他地方出了问题。

然而，为了扩展这一点，密码管理器必须在易用性和安全性之间找到平衡，并且某些设计选择会影响这种平衡。

密码管理器的主要和最重要的工作之一是仅在可以确定它与您保存密码时所在的网站相同时预先填写或自动登录。因为，如果它在不同的网站上执行此操作，它可能会无意中将您的密码泄露给其他网站，从而泄露给不应获得密码的其他人。

因此，为了解决您的问题，如果这个虚假网站与您保存密码的任何真实网站完全无关，包括不同的域名，它就无法获取您保存的任何密码。

困难在于，定义网站的边界可能会有所不同。在某些情况下，一个网站可以有多个域名。一些密码管理器可以知道这一点，并让您的登录在域名网络上工作，无论您最初将其保存在哪个域名上。这很方便，除非密码管理器不小心弄错了一个，并且那个落入了坏人之手。在其他情况下，具有相同域的网站可能由完全不同的人拥有和控制，共享虚拟主机就是这种情况，客户端没有自己的域名 - 有时他们可能有一个共享域的子域，并且有时甚至是同一主机下的子目录。密码管理员可以通过维护可用于不同子域或目录上的单独站点的域记录来尝试并对此保持智能。或者，他们可以采取更保守的方法，只匹配具有完全相同主机名（包括子域）和登录屏幕路径的站点。或者，采取一种介于两者之间的方法，如果存在任何差异，则会提示用户确认它是否是同一个站点。

然后是网站安全本身的问题。密码管理器无法知道网站是否被黑客入侵并被敌对方接管。它可以知道网站是否使用 https 使某些类型的攻击（中间人）更加困难。

所有这一切归结为密码管理器用来确定您正在访问的网站是否有权获得您之前保存的密码的算法有一定的艺术性。您可以在一定程度上帮助保护自己：

• 使用保存的密码登录时，请停止考虑您是否在一个站点上，您可能在该站点的不同区域（例如托管站点）上有单独的登录名，并且您不是在那里使用自己的帐户。
• 如果您的密码管理器有自动登录（即密码管理器也为您提交表单，而不是仅预先填写），请禁用自动登录。
• 不一定只满足于浏览器提供的密码管理器。有第三方密码管理器可以具有额外的安全功能。