就像人们意识到的那样——“自动完成”属性在大多数时候都是有效的，但高级用户可以使用bookmarklet绕过它。

使用浏览器保存密码实际上可以增加对键盘记录的保护，所以最安全的选择可能是将密码保存在浏览器中，但使用主密码保护它们(至少在Firefox中是这样)。

由于Internet Explorer 11不再支持input type="password"字段的autocomplete="off"(希望其他浏览器不会效仿他们的做法)，最简洁的方法(在撰写本文时)似乎是让用户在不同的页面提交他们的用户名和密码，即用户输入他们的用户名，提交，然后输入密码并提交。美国银行和汇丰银行的网站也在使用这种方法。

因为浏览器无法将密码与用户名关联起来，所以它不会提供存储密码的功能。这种方法适用于所有主流浏览器(在撰写本文时)，无需使用Javascript也能正常运行。缺点是，它将更麻烦的用户，将采取2回传为一个登录操作，而不是一个，所以这真的取决于你的网站需要多安全。

更新:正如Gregory在这篇评论中提到的，Firefox将效仿IE11，忽略密码字段的autocomplete="off"。

另一种解决方案是使用隐藏表单使POST，其中所有输入的类型都是隐藏的。可见表单将使用“password”类型的输入。后一种表单永远不会被提交，所以浏览器根本无法拦截登录操作。

其实不是——你唯一能做的就是在网站上提供建议;也许，在他们第一次登录之前，您可以向他们展示一个表单，其中的信息表明不建议他们允许浏览器存储密码。

然后，用户将立即按照建议，在便利贴上写下密码，并将其粘贴在显示器上。

我不确定它是否能在所有浏览器中工作，但你应该尝试在表单上设置autocomplete="off"。

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

禁用表单和密码存储提示并防止表单数据在会话历史中缓存的最简单和最简单的方法是使用值为“off”的自动完成表单元素属性。

从https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion

一些小研究表明，这可以在IE中工作，但我不能保证;)

@Joseph:如果严格要求通过实际标记的XHTML验证(不知道为什么会这样)，理论上你可以在之后用javascript添加这个属性，但禁用js的用户(可能可以忽略不计，如果你的网站需要js，则为零)仍然会保存他们的密码。

jQuery示例:

$('#loginForm').attr('autocomplete', 'off');

您可以通过在每个显示中随机为密码字段使用的名称来防止浏览器匹配表单。然后浏览器看到与url相同的密码，但不能确定这是相同的密码。也许它在控制其他东西。

更新:注意，这应该是使用自动补全或其他策略的补充，而不是替代它们，因为其他人指出的原因。

还要注意，这只会阻止浏览器自动完成密码。它不会阻止它以浏览器选择使用的任意安全级别存储密码。