Да, это функция безопасности.Представьте себе такой сценарий:
Ваш сайт стал жертвой атаки XSS (например, кто-то смог имплантировать фрагмент javascript на вашу страницу без вашего ведома)
На вашем сайте также есть поля имени пользователя и пароляи когда пользователь заходит на страницу, вредоносный скрипт немедленно принимает значения и отправляет их на сервер злоумышленника.
Конечно, это не строго смягчено путем отключения автозаполнения,но по крайней мере это предотвращает кражу пользовательских данных кем-то с сохраненными данными, загружающими страницу.Это требует от них, по крайней мере, ввести свои учетные данные.
Кроме того, существует довольно очевидный компонент, когда кто-то получает физический доступ к вашей машине и затем может автоматически заполнить свой путь к вашим учетным записям.