gis*_*rad 20 html javascript internet-explorer-11
所以我对新版浏览器保存密码有疑问.说我有一个像这样的密码框:
<input type="password" autocomplete="off" />
iOS 7.1中的IE11和Safari等新浏览器已开始忽略密码框中的autocomplete ="off",并提供用户保存密码.在我的公司(银行),我们认为这是一个安全问题.
我想知道是否还有人解决了这个问题.也许有人编写了一个javascript插件来掩盖正常的输入[type = text],以便尊重autocomplete ="off"属性.
更新:
有关更多信息,请参阅msdn上的自动完成文档:http://msdn.microsoft.com/en-us/library/ie/ms533486%28v=vs.85%29.aspx
raf*_*uto 22
您可以使用自定义字体使用类型文本输入虚假密码:
@font-face {
font-family: 'password';
font-style: normal;
font-weight: 400;
src: url(https://jsbin-user-assets.s3.amazonaws.com/rafaelcastrocouto/password.ttf);
}
input.key {
font-family: 'password';
width: 100px; height: 16px;
}请注意,这只会引发更多安全问题.
首先,autocomplete = "off"应该在<form>元素上,而不是单个字段上。这是因为浏览器通常将给定表单中所有字段的值存储在一起(例如,允许为同一站点保存多个用户名/密码组合)。
将其设置在表单中,它应该适合您。(尽管已保存的密码通常仍会自动完成,因此在测试之前请清除密码存储)
但是,如果这被认为是安全问题,我建议您可能正在追逐错误的目标。
浏览器提供此功能的原因是用户希望能够存储他们的登录凭据。阻止他们这样做并不能阻止他们这样做,如果用户真的想这样做,他们仍然有很多方法可以绕过它——有一些浏览器插件明确设计用于终止这些功能autocomplete = "off"并允许所有密码被拯救。
用户最终如何存储密码最终不是您的安全问题,也不是您真正可以控制的事情。
事实上,如果我们阻止人们存储他们的密码,他们更有可能在多个地方使用相同的密码(仅仅是因为人们没有能力记住他们使用的每个网站的不同密码),因此通过防止如果他们不保存密码,您实际上可能会降低用户密码的安全性。
如果您的网站确实需要安全性而不允许保存密码,那么您将需要完全考虑替代机制。例如,现在的银行登录经常要求用户输入密码中的特定编号字符,例如“请输入密码中的第五个、第八个和第十二个字符”。
然而,这些方案更旨在保护密码的传输而不是存储密码:通过仅输入某些给定字符,我们根本不必输入或传输整个密码,因此没有机会途中被黑客攻击。仍然假设用户可能会在某处记下密码(特别是如果他们必须找出字符串中的第十二个字符)
这种方案对于用户来说确实很痛苦,但确实提供了真正的登录安全级别,而无需实际输入或传输密码。然而,它给登录过程增加了额外的难度,这意味着只有像银行这样真正高安全性的网站才可能使用这种方案而不是常规密码。
| 归档时间: |
|
| 查看次数: |
20144 次 |
| 最近记录: |