我们的安全团队要求我们禁用HTML表单上受保护字段的密码管理器.例如,下面是一个简化的HTML表单.当我单击提交按钮时,firefox(版本51.0.1)会弹出密码管理器.
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
</head>
<body>
<form name="testform" action="disable-pwd-mgr.htm" method="post"
autocomplete="off">
<label for="protected-input">Protected Input</label>
<input type="password" size="16" maxlength="16" id="protected-input" name="protected-input" accept="numbers" />
<input type="password" id="disable-pwd-mgr-1" style="display: none;" value="stop-pwd-mgr-1"/>
<input type="password" id="disable-pwd-mgr-2" style="display: none;" value="stop-pwd-mgr-2"/>
<button name="next" id="next" type="submit" value="Next">
NEXT
</button>
</form>
</body>
</html>
Run Code Online (Sandbox Code Playgroud)
请注意,此处建议的所有替代方案均无效.
使用两个单独的附加隐藏密码输入,每个具有不同的虚拟值似乎适用于用户实际将值输入受保护字段并单击提交的情况.但是,如果该字段留空并且单击了提交按钮,则密码管理器会再次弹出.有趣的是,chrome(版本55)根本没有弹出密码管理器,这很好.有没有人有更好的解决方案来解决这个问题?