Чи існує W3C дійсний спосіб відключити автозаповнення у формі HTML?

Використовуючи xhtml1-transitional.dtddoctype, збирайте номер кредитної картки із наступним HTML

<input type="text" id="cardNumber" name="cardNumber" autocomplete='off'/>

позначить попередження про валідатор W3C:

немає атрибута "автозаповнення".

Чи існує спосіб W3C / стандарти відключити автоматичне заповнення браузера на чутливих полях у формі?

Ось хороша стаття з MDC, в якій пояснюються проблеми (та їх вирішення) щодо автоматичного завершення. Microsoft також опублікував щось подібне і тут .

Якщо чесно, якщо це щось важливе для ваших користувачів, таким чином "порушення" стандартів здається доцільним. Наприклад, Amazon використовує атрибут 'autocomplete' зовсім небагато, і він, здається, працює добре.

Якщо ви хочете видалити попередження цілком, ви можете використовувати JavaScript, щоб застосувати атрибут до браузерів, які його підтримують (IE і Firefox є важливими браузерами), використовуючи someForm.setAttribute( "autocomplete", "off" ); someFormElm.setAttribute( "autocomplete", "off" );

Нарешті, якщо ваш сайт використовує HTTPS, IE автоматично вимикає автозавершення (як це роблять деякі інші браузери, наскільки я знаю).

Оновлення

Оскільки ця відповідь все ще отримує досить багато оновлень, я просто хотів зазначити, що в HTML5 ви можете використовувати атрибут "автозаповнення" у вашому елементі форми. Дивіться документацію на W3C для цього.

Я був би дуже здивований, якби W3C запропонував би спосіб, який би працював з (X) HTML4. Функція автозаповнення повністю базується на веб-переглядачах та була впроваджена протягом останніх років (вже після написання стандарту HTML4).

Не здивуємось, якби у HTML5 був такий.

Змінити: Як я думав, HTML5 робить є що особливість. Щоб визначити свою сторінку як HTML5, використовуйте такий доктіп (тобто: введіть це як перший текст у вихідному коді). Зауважте, що не всі веб-переглядачі підтримують цей стандарт, оскільки він все ще знаходиться в чернетковій формі.

<!DOCTYPE html>

HTML 4 : Ні

HTML 5 : Так

Атрибут автозаповнення - це перелічений атрибут. Атрибут має два стани. На ключових слова , карти в включеному стані, і від ключового слова карти в відключеному стані. Атрибут також може бути пропущений. За замовчуванням відсутнє значення - стан увімкнено . Стан вимкнено вказує на те, що за замовчуванням елементи керування форми у формі будуть вимкнено назву поля автозаповнення ; стан увімкнення вказує на те, що за замовчуванням для елементів управління у формі autofillім’я поля буде встановлено на "увімкнено".

Довідка: W3

Ні, але автоматичне заповнення браузера часто викликається полем, що має той самий nameатрибут, що і поля, які раніше були заповнені. Якби ви могли спровокувати розумний спосіб отримати рандомізовану назву поля , автозаповнення не зможе витягнути жодне раніше введене значення для поля.

Якби ви мали надати полі введення назву типу " email_<?= randomNumber() ?>", а потім мати сценарій, який отримує цю петлю даних через змінні POST або GET, шукає щось, що відповідає шаблону " email_[some number]", ви можете зняти це, і це матиме ( практично) гарантований успіх, незалежно від браузера .

Ні, хороша стаття тут у Mozila Wiki .

Я б продовжував використовувати інвалід attribute. Я думаю, що саме тут прагматизм повинен перемогти валідацію.

Як щодо налаштування його за допомогою JavaScript?

var e = document.getElementById('cardNumber');
e.autocomplete = 'off'; // Maybe should be false

Це не ідеально, але ваш HTML буде дійсним.

Я пропоную ввести всі 4 типи введення:

$('form,input,select,textarea').attr("autocomplete", "off");

Довідка:

• http://www.w3.org/Submission/web-forms2/#the-autocomplete
• http://dev.w3.org/html5/markup/input.html

Якщо ви використовуєте jQuery, ви можете зробити щось подібне:

$(document).ready(function(){$("input.autocompleteOff").attr("autocomplete","off");});

і використовуйте клас autocompleteOff там, де вам потрібно:

<input type="text" name="fieldName" id="fieldId" class="firstCSSClass otherCSSClass autocompleteOff" />

Якщо ви хочете, щоб усі були ваші дані autocomplete=off, ви можете просто скористатися цим:

$(document).ready(function(){$("input").attr("autocomplete","off");});

Ще один спосіб - який також допоможе забезпечити безпеку - називати поле вводу чимось іншим щоразу, коли ви показуєте його: як капфа. Таким чином, сеанс може читати лише одноразовий вхід, а автоматичне завершення нічого не може тривати.

Лише питання щодо питання rmeador про те, чи варто вам втручатися у роботу веб-переглядача: Ми розробляємо системи управління контактами та CRM, і коли ви вводите дані інших людей у ​​форму, вам не потрібно, щоб вони постійно пропонували ваші власні дані.

Це працює для наших потреб, але тоді ми маємо розкіш сказати користувачам отримати гідний браузер :)

autocomplete='off' 

autocomplete="off" це має вирішити проблему для всіх сучасних браузерів.

<form name="form1" id="form1" method="post" autocomplete="off"
   action="http://www.example.com/form.cgi">
  [...]
</form>

У поточних версіях браузерів Gecko атрибут автозаповнення працює чудово. Для попередніх версій, повертаючись до Netscape 6.2, він працював за винятком форм з "Адреса" та "Ім'я"

Оновлення

У деяких випадках браузер продовжує запропонувати значення автозаповнення, навіть якщо атрибут автозаповнення встановлено на вимкнено. Така несподівана поведінка може бути досить спантеличною для розробників. Трюк у тому, щоб дійсно змусити неавтоматичне завершення, - призначити атрибуту випадковий рядок , наприклад:

autocomplete="nope"

Оскільки це випадкове значення не є valid one, браузер відмовиться.

Документація

Використання випадкового атрибута 'name' працює для мене.

Я скидаю атрибут імені під час надсилання форми, щоб ви все одно могли отримати доступ до нього за назвою, коли форму надсилається. (використовуючи атрибут id для збереження імені)

Зауважте, що існує деяка плутанина щодо розташування атрибута автозаповнення. Він може бути застосований або до всього тегу FORM, або до окремих тегів INPUT, і це насправді не було стандартизовано перед HTML5 (що явно дозволяє обидва місця ). Більш старі документи, особливо в цій статті Mozilla, згадується лише тег FORM. У той же час деякі сканери безпеки шукатимуть автозаповнення лише у тезі INPUT та скарзяться, якщо він відсутній (навіть якщо він є у батьківській ФОРМІ). Більш детальний аналіз цього безладу розміщено тут: Плутанина щодо атрибутів AUTOCOMPLETE = OFF у формах HTML .

Не ідеально, але ви можете змінювати ідентифікатор та ім'я текстового поля щоразу, коли ви їх рендеруєте - вам також доведеться відстежувати його сторону сервера, щоб ви могли отримати дані.

Не впевнений, чи спрацює це чи ні, була лише думка.

Я думаю, що існує простіший спосіб. Створіть прихований вхід з випадковим іменем (через javascript) і встановіть ім'я користувача. Повторіть із паролем. Таким чином ваш бекенд-скрипт точно знає, що таке відповідна назва поля, зберігаючи автозаповнення в темряві.

Я, мабуть, помиляюся, але це просто ідея.

if (document.getElementsByTagName) {
    var inputElements = document.getElementsByTagName("input");
    for (i=0; inputElements[i]; i++) {
        if (inputElements[i].className && (inputElements[i].className.indexOf("disableAutoComplete") != -1)) {
            inputElements[i].setAttribute("autocomplete","off");
        }
    }
}

Це рішення працює зі мною:

$('form,input,select,textarea').attr("autocomplete", "nope");

якщо ви хочете використовувати автозаповнення в цьому регіоні: додайте autocomplete="false"елемент ex:

<input id="search" name="search" type="text" placeholder="Name or Code" autcomplete="false">

Дійсне автозаповнення вимкнено

<script type="text/javascript">
    /* <![CDATA[ */
    document.write('<input type="text" id="cardNumber" name="cardNumber" autocom'+'plete="off"/>');
    /* ]]> */ 
</script>