对于拥有用户名/密码文本输入字段的网站,浏览器通常会轻易提供给您,让他们记住它们(在我的情况下,Safari会将它们放入我的OS X钥匙串中)。什么泄漏浏览器的“记住登录”逻辑?
这在某些网站上不会发生。首先想到的例子是vBulletin论坛。意思是你不能使用复杂/随机的密码,除非你愿意每次从某处复制和粘贴。
浏览器是否检测何时提供记住这些“这看起来像用户名/密码”启发式和有时失败?
这是如何在幕后工作的?
编辑:各位Safari用户,看看这个组合:
http://userscripts.org/scripts/show/8021
http://userscripts.org/scripts/show/28696
有一个 '自动完成= “关闭”' 属性上表单(不是正式的HTML4,但通常支持)。
你可以使用<FORM METHOD="post" ACTION="action.cgi" AUTOCOMPLETE="off">但这只适用于IE我认为。
您也可以使用随机字符串作为密码字段ID,以便浏览器无法确定先前输入的密码是否正在验证同一页面。
另一种策略是不使用type =“密码”,因为浏览器使用它来标识字段作为密码 - 但是,这不是一个好主意,因为当用户输入密码时密码不会被删除进入形式。如果JS被禁用,任何JavaScript模拟这个不会被执行。
我认为使用前两种技术可能会是一个很好的解决方案,而不是劝告您的用户不要让浏览器存储密码。
尝试this:
<form id="loginForm" action="login.cgi" method="post" autocomplete="off">
到底为什么Web开发人员包括他们的用户名/密码形式?这是从用户手中取出个人决定。 – xyz 2010-01-20 10:28:18
银行网站非常热衷于此 - 他们不想相信用户PC的安全性来存储敏感数据。 – 2010-01-20 10:35:53
他们是否会派一些重量级人员将马达显示器底部的便签纸撕掉? – xyz 2010-01-20 10:50:09