Отключить функцию сохранения пароля в браузере

Я не уверен, будет ли он работать во всех браузерах, но вам следует попробовать установить autocomplete = off в форме.

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

Самый простой и легкий способ отключить запросы к сохранению формы и пароля и предотвратить кэширование данных формы в истории сеанса - использовать атрибут элемента формы автозаполнения со значением off.

Из https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion

Некоторые незначительные исследования показывают, что это работает в IE, но я не оставлю никаких гарантий;)

@Joseph: если требуется пройти проверку XHTML с фактической разметкой, (не знаю, почему это так) теоретически вы могли бы добавить этот атрибут с помощью javascript после этого, но тогда пользователи с отключенным js (вероятно, незначительное количество вашей пользовательской базы или ноль, если ваш сайт требует js) все равно будут сохранять свои пароли.

Пример с jQuery:

$('#loginForm').attr('autocomplete', 'off');

В добавление к

autocomplete="off"

Использовать

readonly onfocus="this.removeAttribute('readonly');"

для входов, которые вы не хотите, чтобы они запоминали данные формы (username, password и т. д.), как показано ниже:

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

Протестировано в последних версиях основных браузеров, т.е. Google Chrome, Mozilla Firefox, Microsoft Edge и т. Д., И работает отлично. Надеюсь это поможет.

Некоторое время я боролся с этой проблемой, придумав уникальный поворот к проблеме. У привилегированных пользователей не может быть сохраненных паролей, но это необходимо обычным пользователям. Это означало, что привилегированные пользователи должны были войти в систему дважды, во второй раз не применяя сохраненных паролей.

С этим требованием стандартный метод autocomplete="off" не работает во всех браузерах, поскольку пароль мог быть сохранен при первом входе в систему. Коллега нашел решение заменить поле пароля, когда оно было сфокусировано новым полем пароля, а затем сосредоточиться на поле нового пароля (затем подключить тот же обработчик событий). Это сработало (за исключением того, что это вызвало бесконечный цикл в IE6). Может быть, есть способ обойти это, но это вызывало у меня мигрень.

Наконец, я попытался оставить имя пользователя и пароль вне формы. К моему удивлению, это сработало! Он работал с IE6 и текущими версиями Firefox и Chrome в Linux. Я не тестировал его дальше, но подозреваю, что он работает в большинстве, если не во всех браузерах (но меня не удивило бы, если бы существовал браузер, которому было бы все равно, если бы не было формы).

Вот пример кода и jQuery, чтобы заставить его работать:

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

Что ж, это очень старый пост, но все же я дам свое решение, которого моя команда пыталась достичь долгое время. Мы просто добавили в форму новое поле input type = "password", обернули его в div и сделали скрытым. Убедитесь, что этот div находится до фактического ввода пароля. Это сработало для нас и не дало возможности сохранить пароль.

Plunk - http://plnkr.co/edit/xmBR31NQMUgUhYHBiZSg?p=preview

HTML:

<form method="post" action="yoururl">
      <div class="hidden">
        <input type="password"/>
      </div>
      <input type="text" name="username" placeholder="username"/>
      <input type="password" name="password" placeholder="password"/>
    </form>

CSS:

.hidden {display:none;}

Вы можете запретить браузеру сопоставлять формы, выбирая случайным образом имя, используемое для поля пароля на каждом шоу. Затем браузер видит пароль для того же URL-адреса, но не может быть уверен, что это тот же пароль. Может быть, он контролирует что-то еще.

Обновление: обратите внимание, что это должно быть в дополнение к использованию автозаполнения или других тактик, а не их замене по причинам, указанным другими.

Также обратите внимание, что это только предотвратит автозаполнение пароля браузером. Это не помешает ему сохранить пароль на любом уровне произвольной безопасности, который браузер выберет для использования.

Используйте настоящую двухфакторную аутентификацию, чтобы избежать единственной зависимости от паролей, которые могут храниться во многих больше мест, чем кеш браузера пользователя.

Самый простой способ - использовать атрибут тега autocomplete="off", но Firefox не подчиняется ему должным образом, когда вы переключаете поля с помощью Tab.

Единственный способ остановить это - добавить фальшивое скрытое поле пароля, которое обманом заставит браузер ввести туда пароль.

<input type="text" id="username" name="username"/>
<input type="password" id="prevent_autofill" autocomplete="off" style="display:none" tabindex="-1" />
<input type="password" id="password" autocomplete="off" name="password"/>

Это уродливый взлом, потому что вы меняете поведение браузера, что следует считать плохой практикой. Используйте его только в том случае, если он вам действительно нужен.

Примечание: это фактически остановит автозаполнение пароля, потому что FF «сохранит» значение #prevent_autofill (которое пусто) и попытается заполнить все сохраненные пароли там, поскольку он всегда использует первый type="password" вход, который он находит в DOM, после соответствующего " имя пользователя "input.

Я протестировал добавление autocomplete = "off" в тег формы во всех основных браузерах. Фактически, большинство людей в США до сих пор используют IE8.

1. IE8, IE9, IE10, Firefox, Safari работают нормально.

   # P2 #

2. Chrome и IE 11 не поддерживают функцию autocomplete = "off"
3. FF поддерживает autocomplete = "off". но иногда заполняются существующие сохраненные учетные данные.

Обновлено 11 июня 2014 г.

Наконец, ниже представлено кроссбраузерное решение с использованием javascript, которое отлично работает во всех браузерах.

Необходимо удалить тег "form" в форме входа. После проверки на стороне клиента поместите эти учетные данные в скрытую форму и отправьте их.

Также добавьте два метода. один для проверки "validateLogin ()", а другой для прослушивания события ввода при нажатии кнопки ввода в текстовом поле / пароле / кнопке "checkAndSubmit ()". потому что теперь в форме входа нет тега формы, поэтому событие ввода здесь не работает.

HTML

<form id="HiddenLoginForm" action="" method="post">
<input type="hidden" name="username" id="hidden_username" />
<input type="hidden" name="password" id="hidden_password" />
</form>

Username: <input type="text" name="username" id="username" onKeyPress="return checkAndSubmit(event);" /> 
Password: <input type="text" name="password" id="password" onKeyPress="return checkAndSubmit(event);" /> 
<input type="button" value="submit" onClick="return validateAndLogin();" onKeyPress="return checkAndSubmit(event);" /> 

Javascript

//For validation- you can modify as you like
function validateAndLogin(){
  var username = document.getElementById("username");
  var password = document.getElementById("password");

  if(username  && username.value == ''){
    alert("Please enter username!");
    return false;
  }

  if(password && password.value == ''){
    alert("Please enter password!");
    return false;
  }

  document.getElementById("hidden_username").value = username.value;
  document.getElementById("hidden_password").value = password.value;
  document.getElementById("HiddenLoginForm").submit();
}

//For enter event
function checkAndSubmit(e) {
 if (e.keyCode == 13) {
   validateAndLogin();
 }
}

Удачи!!!

Не совсем - единственное, что вы могли бы реально сделать, - это дать совет на сайте; возможно, перед их первым входом в систему вы могли бы показать им форму с информацией о том, что не рекомендуется разрешать браузеру сохранять пароль.

Тогда пользователь немедленно последует совету, запишет пароль на стикер и прикрепит его к своему монитору.

Я делал комбинацию autocomplete = "off" и очищал поля пароля с помощью javascript / jQuery.

Пример jQuery:

$(function() { 
    $('#PasswordEdit').attr("autocomplete", "off");
    setTimeout('$("#PasswordEdit").val("");', 50); 
});

Используя setTimeout(), вы можете дождаться, пока браузер заполнит поле, прежде чем очистить его, в противном случае браузер всегда будет выполнять автозаполнение после того, как вы очистите поле.

если autocomplete = "off" не работает ... удалите тег формы и используйте вместо него тег div, а затем передайте значения формы с помощью jquery на сервер. Это сработало для меня.

Поскольку autocomplete = "off" не работает для полей пароля, необходимо полагаться на javascript. Вот простое решение, основанное на найденных здесь ответах.

Добавьте атрибут data-password-autocomplete = "off" в поле пароля:

<input type="password" data-password-autocomplete="off">

Включите следующий JS:

$(function(){
    $('[data-password-autocomplete="off"]').each(function() {
        $(this).prop('type', 'text');
        $('<input type="password"/>').hide().insertBefore(this);
        $(this).focus(function() {
            $(this).prop('type', 'password');
        });
    });     
});

Это решение работает как для Chrome, так и для FF.

Просто люди понимают - атрибут «автозаполнение» работает большую часть времени, но опытные пользователи могут обойти его, используя букмарклет.

Сохранение паролей в браузере на самом деле увеличивает защиту от кейлоггеров, поэтому, возможно, самый безопасный вариант - сохранять пароли в браузере, но защищать их мастер-паролем (по крайней мере, в Firefox).

У меня есть работа, которая может помочь.

Вы можете сделать собственный шрифт. Итак, создайте собственный шрифт, например, со всеми символами в виде точки / круга / звезды. Используйте его как собственный шрифт для своего веб-сайта. Узнайте, как это сделать в inkscape: как создать собственный шрифт

Затем в форме входа в систему используйте:

<form autocomplete='off'  ...>
   <input type="text" name="email" ...>
   <input type="text" name="password" class="password" autocomplete='off' ...>
   <input type=submit>
</form>

Затем добавьте свой css:

@font-face {
    font-family: 'myCustomfont';
    src: url('myCustomfont.eot');
    src: url('myCustomfont?#iefix') format('embedded-opentype'),
         url('myCustomfont.woff') format('woff'),
         url('myCustomfont.ttf') format('truetype'),
         url('myCustomfont.svg#myCustomfont') format('svg');
    font-weight: normal;
    font-style: normal;

}
.password {
  font-family:'myCustomfont';
}

Довольно кроссбраузерная совместимость. Я пробовал IE6 +, FF, Safari и Chrome. Просто убедитесь, что конвертируемый шрифт oet не поврежден. Надеюсь, это поможет?

Самый простой способ решить эту проблему - разместить поля INPUT вне тега FORM и добавить два скрытых поля внутри тега FORM. Затем в прослушивателе событий отправки, прежде чем данные формы будут отправлены на сервер, скопируйте значения из видимого ввода в невидимые.

Вот пример (вы не можете запустить его здесь, поскольку действие формы не настроено на настоящий скрипт входа в систему):

<!doctype html>
<html>
<head>
  <title>Login & Save password test</title>
  <meta charset="utf-8">
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script>
</head>

  <body>
      <!-- the following fields will show on page, but are not part of the form -->
      <input class="username" type="text" placeholder="Username" />
      <input class="password" type="password" placeholder="Password" />

      <form id="loginForm" action="login.aspx" method="post">
        <!-- thw following two fields are part of the form, but are not visible -->
        <input name="username" id="username" type="hidden" />
        <input name="password" id="password" type="hidden" />
        <!-- standard submit button -->
        <button type="submit">Login</button>
      </form>

    <script>
      // attache a event listener which will get called just before the form data is sent to server
      $('form').submit(function(ev) {
        console.log('xxx');
        // read the value from the visible INPUT and save it to invisible one
        // ... so that it gets sent to the server
        $('#username').val($('.username').val());
        $('#password').val($('.password').val());
      });
    </script>

  </body>
</html>

Мой обходной путь js (jquery) - изменить тип ввода пароля на текст при отправке формы. Пароль может стать видимым на секунду, поэтому я также скрываю ввод непосредственно перед этим. Я бы предпочел не использовать это для форм входа, но это полезно (вместе с autocomplete = "off"), например, внутри административной части веб-сайта.

Попробуйте поместить это в консоль (с помощью jquery), прежде чем отправлять форму.

$('form').submit(function(event) {
    $(this).find('input[type=password]').css('visibility', 'hidden').attr('type', 'text');
});

Проверено в Chrome 44.0.2403.157 (64-разрядная версия).

Я протестировал множество решений. Имя динамического поля пароля, несколько полей пароля (невидимые для поддельных), изменение типа ввода с "текст" на "пароль", autocomplete = "off", autocomplete = "new-password", ... но ничего не решило с недавним браузер.

Чтобы избавиться от запоминания пароля, я наконец обработал пароль как поле ввода и «размыл» набранный текст.

Это менее «безопасно», чем собственное поле пароля, поскольку при выборе набранного текста он будет отображаться как открытый текст, но пароль не запоминается. Это также зависит от того, активирован ли Javascript.

Вы сможете оценить риск использования предложенного ниже предложения или опции запоминания пароля из навигатора.

Хотя запоминание пароля может управляться (отключаться для каждого сайта) пользователем, это нормально для персонального компьютера, а не для «общедоступного» или совместно используемого компьютера.

В моем случае это ERP, работающая на общих компьютерах, поэтому я опробую свое решение ниже.

<input style="background-color: rgb(239, 179, 196); color: black; text-shadow: none;" name="password" size="10" maxlength="30" onfocus="this.value='';this.style.color='black'; this.style.textShadow='none';" onkeypress="this.style.color='transparent'; this.style.textShadow='1px 1px 6px green';" autocomplete="off" type="text">

Маркус поднял важный вопрос. Я решил поискать атрибут autocomplete и получил следующее:

Единственным недостатком использования этого атрибута является то, что он не является стандартным (он работает в браузерах IE и Mozilla) и приведет к сбою проверки XHTML. Однако я думаю, что это тот случай, когда разумно прервать валидацию. (источник)

Поэтому я должен сказать, что, хотя он не работает на 100% по всем направлениям, он обрабатывается в основных браузерах, так что это отличное решение.

Я пробовал выше autocomplete="off", но ничего не получилось. если вы используете angular js, я рекомендую использовать кнопку и щелчок ng.

<button type="button" class="" ng-click="vm.login()" />

У этого уже есть принятый ответ, я добавляю это, если кто-то не может решить проблему с помощью принятого ответа, он может пойти с моим механизмом.

Спасибо за вопрос и ответы.

Один из известных мне способов - использовать (например) JavaScript для копирования значения из поля пароля перед отправкой формы.

Основная проблема в том, что решение привязано к JavaScript.

Опять же, если он может быть привязан к JavaScript, вы также можете хешировать пароль на стороне клиента перед отправкой запроса на сервер.

Настоящая проблема гораздо глубже, чем просто добавление атрибутов в ваш HTML - это общая проблема безопасности, поэтому люди изобрели аппаратные ключи и другие безумные вещи для безопасности.

Представьте, что у вас autocomplete = "off" отлично работает во всех браузерах. Поможет ли это с безопасностью? Конечно нет. Пользователи будут записывать свои пароли в учебники, на стикеры, прикрепленные к их монитору, где каждый посетитель офиса может их видеть, сохранять их в текстовые файлы на рабочем столе и так далее.

Как правило, веб-приложение и веб-разработчик никоим образом не несут ответственности за безопасность конечных пользователей. Конечные пользователи могут только защитить себя. В идеале они ДОЛЖНЫ держать все пароли в голове и использовать функцию сброса пароля (или связаться с администратором) на случай, если они его забыли. В противном случае всегда будет риск, что пароль каким-то образом увидят и украдут.

Так что либо у вас есть какая-то сумасшедшая политика безопасности с аппаратными ключами (например, некоторые банки предлагают интернет-банкинг, который в основном использует двухфакторную аутентификацию), либо вообще ОТСУТСТВУЕТ БЕЗОПАСНОСТЬ. Ну, конечно, это немного преувеличено. Важно понимать, от чего вы пытаетесь защититься:

1. Несанкционированный доступ. В принципе, достаточно простейшей формы входа. Иногда принимаются дополнительные меры, такие как случайные вопросы безопасности, CAPTCHA, усиление пароля и т. Д.
2. Обнюхивание учетных данных. HTTPS ОБЯЗАТЕЛЬНА, если люди получают доступ к вашему веб-приложению из общедоступных точек доступа Wi-Fi и т. Д. Обратите внимание, что даже при наличии HTTPS вашим пользователям необходимо регулярно менять свои пароли.
3. Атака изнутри. Есть два множества таких примеров, начиная от простого кражи ваших паролей из браузера или тех, которые вы записали где-то на столе (не требует никаких ИТ-навыков), и заканчивая созданием сеанса и перехватом локального сетевого трафика (даже зашифрованного). и дальнейший доступ к веб-приложению, как к другому конечному пользователю.

В этом конкретном посте я вижу неадекватные требования к разработчику, которые он никогда не сможет решить из-за характера проблемы - безопасности конечного пользователя. Я субъективно считаю, что разработчик должен сказать НЕТ и указать на проблему с требованиями, а не тратить время на такие задачи, честно. Это не совсем сделает вашу систему более защищенной, скорее приведет к случаям с наклейками на мониторах. К сожалению, некоторые начальники слышат только то, что хотят слышать. Однако на вашем месте я бы попытался объяснить, откуда взялась настоящая проблема, и что autocomplete = "off" не решит ее, если только не заставит пользователей хранить все свои пароли исключительно в голове! Разработчик, со своей стороны, не может полностью защитить пользователей, пользователи должны знать, как использовать систему, и в то же время не раскрывать свою конфиденциальную / безопасную информацию, и это выходит далеко за рамки аутентификации.

Столкнувшись с той же проблемой HIPAA и нашел относительно простое решение,

1. Создайте скрытое поле пароля с именем поля в виде массива.

   <input type="password" name="password[]" style="display:none" />
   

2. Используйте тот же массив для фактического поля пароля.

   <input type="password" name="password[]" />
   

Браузер (Chrome) может предложить вам «Сохранить пароль», но независимо от того, выберет ли пользователь «Сохранить», при следующем входе в систему пароль автоматически заполнит скрытое поле пароля, нулевой слот в массиве, а 1-й слот останется пустым.

Я попытался определить массив, например «пароль [часть2]», но он все равно запомнил. Я думаю, что это отбрасывает его, если это неиндексированный массив, потому что у него нет другого выбора, кроме как отбросить его в первую очередь.

Затем вы используете выбранный вами язык программирования для доступа к массиву, например PHP,

echo $_POST['password'][1];

Поскольку большинство предложений autocomplete, включая принятый ответ, не работают в современных веб-браузерах (т. Е. Менеджеры паролей веб-браузеров игнорируют autocomplete), более новым решением является переключение между типами password и text и согласование цвета фона с текстом. цвет, когда поле является обычным текстовым полем, которое продолжает скрывать пароль, будучи полем реального пароля, когда пользователь (или такая программа, как KeePass) вводит пароль. Браузеры не просят сохранять пароли, которые хранятся в полях с обычным текстом.

Преимущество этого подхода заключается в том, что он допускает прогрессивное улучшение и, следовательно, не требует Javascript для того, чтобы поле функционировало как обычное поле пароля (вместо этого вы также можете начать с обычного текстового поля и применить тот же подход, но это не совсем HIPAA Соответствует PHI / PII). Этот подход также не зависит от скрытых форм / полей, которые не обязательно могут быть отправлены на сервер (потому что они скрыты), и некоторые из этих уловок также не работают в некоторых современных браузерах.

Плагин jQuery:

https://github.com/cubiclesoft/php-flexforms-modules/blob/master/password-manager/jquery.stoppasswordmanager.js.

Соответствующий исходный код из приведенной выше ссылки:

(function($) {
$.fn.StopPasswordManager = function() {
    return this.each(function() {
        var $this = $(this);

        $this.addClass('no-print');
        $this.attr('data-background-color', $this.css('background-color'));
        $this.css('background-color', $this.css('color'));
        $this.attr('type', 'text');
        $this.attr('autocomplete', 'off');

        $this.focus(function() {
            $this.attr('type', 'password');
            $this.css('background-color', $this.attr('data-background-color'));
        });

        $this.blur(function() {
            $this.css('background-color', $this.css('color'));
            $this.attr('type', 'text');
            $this[0].selectionStart = $this[0].selectionEnd;
        });

        $this.on('keydown', function(e) {
            if (e.keyCode == 13)
            {
                $this.css('background-color', $this.css('color'));
                $this.attr('type', 'text');
                $this[0].selectionStart = $this[0].selectionEnd;
            }
        });
    });
}
}(jQuery));

Демо:

https://barebonescms.com/demos/admin_pack/admin.php

Нажмите «Добавить запись» в меню, а затем прокрутите страницу вниз до «Модуль: остановить диспетчер паролей».

Отказ от ответственности: хотя этот подход работает для зрячих людей, могут возникнуть проблемы с программным обеспечением для чтения с экрана. Например, программа чтения с экрана может прочитать пароль пользователя вслух, потому что видит текстовое поле. Также могут быть другие непредвиденные последствия использования вышеуказанного плагина. Изменять функциональные возможности встроенного веб-браузера следует осторожно, тестируя самые разные условия и крайние случаи.

Это мой HTML-код для решения. Работает в Chrome-Safari-Internet Explorer. Я создал новый шрифт, в котором все символы выглядят как ●. Затем я использую этот шрифт для текста своего пароля. Примечание. Имя моего шрифта является секретным для пароля.

<style type="text/css">
         #login_parola {
             font-family: 'passwordsecretregular' !important;
            -webkit-text-security: disc !important;
            font-size: 22px !important;
         }
    </style>


<input type="text" class="w205 has-keyboard-alpha"  name="login_parola" id="login_parola" onkeyup="checkCapsWarning(event)"  
   onfocus="checkCapsWarning(event)" onblur="removeCapsWarning()" onpaste="return false;" maxlength="32"/>

Есть ли способ запретить сайту запоминать пароли?

Веб-сайт сообщает браузеру, что это пароль, используя <input type="password">. Поэтому, если вы должны сделать это с точки зрения веб-сайта, вам придется это изменить. (Очевидно, я этого не рекомендую).

Лучшим решением было бы настроить браузер таким образом, чтобы он не запоминал пароли.

Если вы не хотите доверять флагу автозаполнения, вы можете убедиться, что пользователь вводит в поле, используя событие onchange. Приведенный ниже код представляет собой простую HTML-форму. Для скрытого элемента формы password_edited установлено значение 0. Когда значение пароля изменяется, JavaScript вверху (функция pw_edited) изменяет значение на 1. При нажатии кнопки он проверяет здесь код ввода значения перед отправкой формы. . Таким образом, даже если браузер игнорирует вас и автоматически заполняет поле, пользователь не может перейти на страницу входа, не введя в поле пароля. Кроме того, убедитесь, что поле пароля пусто, когда установлен фокус. В противном случае вы можете добавить символ в конце, а затем вернуться и удалить его, чтобы обмануть систему. Я рекомендую дополнительно добавить autocomplete = "off" к паролю, но этот пример показывает, как работает резервный код.

<html>
  <head>
    <script>
      function pw_edited() {
        document.this_form.password_edited.value = 1;
      }
      function pw_blank() {
        document.this_form.password.value = "";
      }
      function submitf() {
        if(document.this_form.password_edited.value < 1) {
          alert("Please Enter Your Password!");
        }
        else {
         document.this_form.submit();
        }
      }
    </script>
  </head>
  <body>
    <form name="this_form" method="post" action="../../cgi-bin/yourscript.cgi?login">
      <div style="padding-left:25px;">
        <p>
          <label>User:</label>
          <input name="user_name" type="text" class="input" value="" size="30" maxlength="60">
        </p>
        <p>
          <label>Password:</label>
          <input name="password" type="password" class="input" size="20" value="" maxlength="50" onfocus="pw_blank();" onchange="pw_edited();">
        </p>
        <p>
          <span id="error_msg"></span>
        </p>
        <p>
          <input type="hidden" name="password_edited" value="0">
          <input name="submitform" type="button" class="button" value="Login" onclick="return submitf();">
        </p>
      </div>
    </form>
  </body>
</html>

autocomplete = "off" не работает для отключения диспетчера паролей в Firefox 31 и, скорее всего, не в некоторых более ранних версиях.

Просмотрите обсуждение этой проблемы в mozilla: https://bugzilla.mozilla.org/show_bug.cgi?id=956906

Мы хотели использовать второе поле пароля для ввода одноразового пароля, сгенерированного токеном. Теперь мы используем ввод текста вместо ввода пароля. :-(

Мне была поставлена ​​аналогичная задача - отключить автоматическое заполнение логина и паролей браузером, после множества проб и ошибок я обнаружил, что приведенное ниже решение является оптимальным. Просто добавьте элементы управления ниже перед исходными элементами управления.

<input type="text" style="display:none">
<input type="text" name="OriginalLoginTextBox">

<input type="password" style="display:none">
<input type="text" name="OriginalPasswordTextBox">

Это отлично работает для IE11 и Chrome 44.0.2403.107

На сегодняшний день наиболее многообещающим ответом, похоже, является @murat. Я сам тестировал его в Firefox, но, как другие предлагали в комментариях, он по-прежнему запрашивает пароль в первый раз. Тогда этого не произойдет, независимо от того, сколько раз вы повторно вводите пароль (в моем случае отправка с использованием Ajax). Если страница перезагружается, описанное выше поведение повторяется.

Я подумал, что у банковских сайтов должна быть такая функциональность, поэтому я проверил onlinesbi.com, и он отлично справляется.! Он не просит хранить пароль ни в одном браузере. Я попытался проверить источник, но не смог понять, он использует некоторую комбинацию скрытых элементов плюс автозаполнение и js. Я не мог понять этого, но на этой платформе их много, и я надеюсь, что кто-то определенно выяснит и разместит это здесь.

autocomplete = "off" работает для большинства современных браузеров, но другой метод, который я использовал, который успешно работал с Epiphany (браузер на базе WebKit для GNOME), - это сохранение случайно сгенерированного префикса в состоянии сеанса (или скрытого поля, которое у меня было подходящая переменная уже в состоянии сеанса) и используйте это, чтобы изменить имя полей. Epiphany все еще хочет сохранить пароль, но при возврате к форме он не заполняет поля.

У меня не было проблем с использованием этого метода:

Используйте autocomplete = "off", добавьте скрытое поле пароля, а затем другое не скрытое. Браузер пытается автоматически заполнить скрытый, если он не соблюдает autocomplete = "off"

Другое решение - сделать POST, используя скрытую форму, где все входные данные имеют скрытый тип. Видимая форма будет использовать ввод типа «пароль». Последняя форма никогда не будет отправлена, поэтому браузер не может вообще перехватить операцию входа в систему.

Поскольку Internet Explorer 11 больше не поддерживает autocomplete="off" для input type="password" полей (будем надеяться, что никакие другие браузеры не последуют их примеру), самый чистый подход (на момент написания), похоже, заставляет пользователей отправлять свое имя пользователя и пароль на разных страницах, т. Е. Пользователь вводит свое имя пользователя, отправьте, затем введите свой пароль и отправьте. Bank Of America и HSBC Bank.

Поскольку браузер не может связать пароль с именем пользователя, он не предлагает хранить пароли. Этот подход работает во всех основных браузерах (на момент написания) и будет правильно работать без использования Javascript. Недостатком является то, что это было бы более проблематично для пользователя и потребовало бы двух обратных передач для действия входа в систему вместо одного, поэтому это действительно зависит от того, насколько безопасным должен быть ваш веб-сайт.

Обновление: как упоминалось в этом комментарии Грегори, Firefox будет следовать примеру IE11 и игнорировать autocomplete="off" поля пароля.

я думаю, что установка autocomplete = "off" совсем не помогает

у меня есть альтернативное решение,

<input type="text" name="preventAutoPass" id="preventAutoPass" style="display:none" />

добавьте это перед вводом пароля.

eg:<input type="text" name="txtUserName" id="txtUserName" /> <input type="text" name="preventAutoPass" id="preventAutoPass" style="display:none" /> <input type="password" name="txtPass" id="txtPass" autocomplete="off" />

это не мешает браузеру запрашивать и сохранять пароль. но это не позволяет ввести пароль.

радость

ИМХО,
Лучше всего рандомизировать имя поля ввода, в котором есть type=password. Используйте префикс «pwd», а затем случайное число. Создайте поле динамически и представьте форму пользователю.

Ваша форма входа будет выглядеть так ...

<form>
   <input type=password id=pwd67584 ...>
   <input type=text id=username ...>
   <input type=submit>
</form>

Затем на стороне сервера, когда вы анализируете форму, отправленную клиентом, поймите поле с именем, которое начинается с «pwd», и используйте его как «пароль».