最佳解决方案：

防止自动完成用户名（或电子邮件）和密码：

<input type="email" name="email"><!-- Can be type="text" -->
<input type="password" name="password" autocomplete="new-password">

阻止自动完成字段：

<input type="text" name="field" autocomplete="nope">

说明：autocomplete在＜input＞中继续工作，autocomplete=“off”不工作，但您可以将off更改为随机字符串，如nope。

工作地点：

铬：49、50、51、52、53、54、55、56、57、58、59、60、61、62、63和64Firefox：44、45、46、47、48、49、50、51、52、53、54、55、56、57和58

可以说，我想要一种可以将现场管理完全从浏览器手中拿走的东西。在本例中，有一个标准的文本输入字段来捕获密码-没有电子邮件、用户名等。。。

<input id='input_password' type='text' autocomplete='off' autofocus>

有一个名为“input”的变量，设置为空字符串。。。

var input = "";

jQuery监视字段事件。。。

聚焦时，始终清除字段内容和关联的“输入”变量。在按键时，任何字母数字字符以及一些定义的符号都会附加到“input”变量，并且字段输入会替换为项目符号。此外，当按下Enter键时，键入的字符（存储在“input”变量中）将通过Ajax发送到服务器。（请参阅下面的“服务器详细信息”。）在设置键时，Home、End和Arrow键会刷新“input”变量和字段值。（我可能会对箭头导航和焦点事件产生兴趣，并使用.selectionStart来确定用户单击或正在导航的位置，但不值得为密码字段付出努力。）此外，按下Backspace键会相应地截断变量和字段内容。

$("#input_password").off().on("focus", function(event) {
    $(this).val("");
    input = "";

}).on("keypress", function(event) {
    event.preventDefault();

    if (event.key !== "Enter" && event.key.match(/^[0-9a-z!@#\$%&*-_]/)) {
        $(this).val( $(this).val() + "•" );
        input += event.key;
    }
    else if (event.key == "Enter") {
        var params = {};
        params.password = input;

        $.post(SERVER_URL, params, function(data, status, ajax) {
            location.reload();
        });
    }

}).on("keyup", function(event) {
    var navigationKeys = ["Home", "End", "ArrowLeft", "ArrowRight", "ArrowUp", "ArrowDown"];
    if ($.inArray(event.key, navigationKeys) > -1) {
        event.preventDefault();
        $(this).val("");
        input = "";
    }
    else if (event.key == "Backspace") {
        var length = $(this).val().length - 1 > 0 ? $(this).val().length : 0;
        input = input.substring(0, length);
    }
});

前端摘要

本质上，这使浏览器无法捕获任何有用的内容。即使它覆盖了自动完成设置，和/或显示了一个包含先前输入值的下拉列表，它也只存储字段值的项目符号。

服务器详细信息（可选阅读）

如上所示，一旦服务器返回JSON响应，JavaScript就会执行location.reload（）。（此登录技术用于访问受限制的管理工具。与cookie内容相关的一些过度使用可以被跳过，以实现更广泛的实现。）以下是详细信息：

当用户导航到站点时，服务器会查找合法的cookie。如果没有任何cookie，将显示登录页面。当用户输入密码并通过Ajax发送，服务器确认密码并检查以查看用户的IP地址是否在授权IP地址列表中。如果无法识别密码或IP地址，则服务器不会生成cookie，因此当页面重新加载时，用户会看到相同的登录页面。如果密码和IP地址都被识别，服务器将生成cookie具有十分钟的使用寿命，它还存储与时间帧和IP地址相对应的两个加扰值。当页面重新加载时，服务器会找到cookie并验证加扰值是正确的（即时间帧与cookie的日期相对应并且IP地址相同）。每当用户与服务器交互时，无论他们是登录、显示数据还是更新记录，都会重复验证和更新cookie的过程。如果cookie的值始终正确，服务器将显示完整的网站（如果用户正在登录）或满足提交的任何显示或更新请求。如果在任何时候cookie的值不正确，服务器会删除当前cookie，然后在重新加载时，会导致登录页面重新显示。

这对我来说就像一种魅力。

将表单的自动完成属性设置为关闭添加虚拟输入字段，并将其属性设置为禁用。

<form autocomplete=“off”><input-type=“text”autocomplete=“off”style=“display:none”></form>

大多数主要浏览器和密码管理器（正确地说，IMHO）现在都忽略了autocomplete=off。

为什么？许多银行和其他“高安全性”网站“出于安全目的”在其登录页面中添加了autocomplete=off，但这实际上降低了安全性，因为这会导致人们更改这些高安全性网站上的密码，以便于记忆（从而破解），因为自动完成功能已被破坏。

很久以前，大多数密码管理器开始忽略autocomplete=off，现在浏览器开始只对用户名/密码输入执行相同的操作。

不幸的是，自动完成实现中的错误会将用户名和/或密码信息插入到不适当的表单字段中，从而导致表单验证错误，或者更糟的是，意外地将用户名插入到用户故意留空的字段中。

web开发人员应该做什么？

如果您可以单独保存页面上的所有密码字段，这是一个很好的开始，因为密码字段的存在似乎是用户/密码自动完成的主要触发因素。否则，请阅读下面的提示。Safari注意到有两个密码字段，并在这种情况下禁用自动完成，假设它必须是一个更改密码表单，而不是登录表单。因此，请确保在允许的任何表单中使用两个密码域（新的和确认新的）不幸的是，Chrome34每当看到密码字段时，都会尝试使用user/pass自动填充字段。这是一个非常糟糕的bug，希望他们会改变Safari的行为。但是，将其添加到表单顶部似乎会禁用密码自动填充：<input-type=“text”style=“display:none”><input-type=“password”style=“display:none”>

我还没有彻底调查IE或Firefox，但如果其他人在评论中有信息，我很乐意更新答案。

我不得不对那些说要避免禁用自动完成的答案表示异议。

首先要指出的是，未在登录表单字段上显式禁用自动完成是PCI-DSS失败。此外，如果用户的本地计算机受到威胁，则攻击者可以轻松地获取任何自动完成的数据，因为这些数据存储在明文中。

当然，可用性是有争议的，但在哪些表单字段应该禁用自动完成功能，哪些表单字段不应该禁用自动填写功能时，存在一个非常好的平衡。

如果您的问题是自动填写密码字段，那么您可能会发现这很有用。。。

我们在网站的几个领域遇到了这个问题，在这些领域中，业务部门希望重新查询用户的用户名和密码，特别是出于合同原因，不希望自动填充密码。我们发现，最简单的方法是输入一个假密码字段，以便浏览器查找和填充，而真实密码字段保持不变。

<!-- This is a fake password input to defeat the browser's autofill behavior -->
<input type="password" id="txtPassword" style="display:none;" />
<!-- This is the real password input -->
<input type="password" id="txtThisIsTheRealPassword" />

请注意，在Firefox和IE中，将任何类型的密码输入放在实际输入之前就足够了，但Chrome识破了这一点，并迫使我实际命名假密码输入（通过给它一个明显的密码id），以使其“咬”。我使用了一个类来实现样式，而不是使用嵌入样式，所以如果由于某种原因，上面的方法不起作用，请尝试这样做。