【发布时间】:2017-06-16 04:17:16
【问题描述】:
我们的安全团队要求我们禁用 HTML 表单上受保护字段的密码管理器。例如,下面是一个过度简化的 HTML 表单。当我单击提交按钮时,firefox(版本 51.0.1)会弹出密码管理器。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
</head>
<body>
<form name="testform" action="disable-pwd-mgr.htm" method="post"
autocomplete="off">
<label for="protected-input">Protected Input</label>
<input type="password" size="16" maxlength="16" id="protected-input" name="protected-input" accept="numbers" />
<input type="password" id="disable-pwd-mgr-1" style="display: none;" value="stop-pwd-mgr-1"/>
<input type="password" id="disable-pwd-mgr-2" style="display: none;" value="stop-pwd-mgr-2"/>
<button name="next" id="next" type="submit" value="Next">
NEXT
</button>
</form>
</body>
</html>
请注意,here 建议的所有替代方案均无效。
- autocomplete=off 不起作用。
- 有另一个隐藏的输入字段 输入密码无效。
使用两个单独的附加隐藏密码输入,每个都有不同的虚拟值似乎适用于用户实际在受保护字段中输入值并单击提交的情况。但如果该字段留空并单击提交按钮,密码管理器会再次弹出。有趣的是,chrome(55 版)根本不会弹出密码管理器,这很好。有没有人有更好的解决这个问题的方法?
【问题讨论】:
-
你在这方面使用 javascript 吗?输入中没有名称标签,因此数据永远不会被提交到服务器端,我们是否遗漏了什么?
-
我不确定你是否可以。 Firefox 和 IE11(不确定 Edge)决定您不能覆盖此行为。 bugzilla.mozilla.org/show_bug.cgi?id=956906
-
useful reference link :
If an author would like to prevent the autofilling of password fields in user management pages where a user can specify a new password for someone other than themself, autocomplete="new-password" should be specified, though support for this has not been implemented in all browsers yet. -
您知道禁用密码管理器会导致用户选择哑密码吗?
-
@Julian 虽然这可能是真的,但它确实取决于用户和他们自己的安全能力......
标签: html