我们的安全团队要求我们禁用HTML表单上受保护字段的密码管理器.例如,下面是一个简化的HTML表单.当我单击提交按钮时,firefox(版本51.0.1)会弹出密码管理器.
请注意,所有替代方案建议here不起作用.
> autocomplete = off无法正常工作.
>有另一个隐藏的输入字段
键入密码不起作用.
使用两个单独的附加隐藏密码输入,每个具有不同的虚拟值似乎适用于用户实际将值输入受保护字段并单击提交的情况.但是,如果该字段留空并且单击了提交按钮,则密码管理器会再次弹出.有趣的是,chrome(版本55)根本没有弹出密码管理器,这很好.有没有人有更好的解决方案来解决这个问题?
最佳答案
这适用于当前的Firefox(51),Chrome(55),Edge(38)和IE(11):
使用三个不同的隐藏密码输入和三个不同的值.这似乎阻止浏览器激活密码管理器,因为它无法猜测三个值中的哪一个是要使用的新密码.
在过去几年中,浏览器制造商已开始忽略密码表单的“autocomplete = off”选项.例如,请参阅the change issue for Firefox.
原因很简单:很多网站都希望根据对安全性的错误理解来禁用登录表单的自动完成功能.允许用户将密码存储在安全密码管理器中(如当前浏览器所提供的那样)不存在安全风险.事实上,它允许用户为不同的网站使用安全和个人密码,从而有助于提高安全性.
因此,不要尝试禁用浏览器密码管理器,因为您认为这会增加用户的安全性.它没有.
在某些情况下,您可能不希望弹出密码管理器,例如,因为输入的密码是一次性密码或棕褐色,第二次没有用.但是在一次性密码/棕褐色的情况下,为什么要使用密码输入呢?只需使用正常输入.