Google Chromeのパスワード自動入力機能の誤動作

表題の件で、Google Chrome 60.0.3112.90は一旦パスワードを保存すると
INPUTの「name属性」が保存時と異なっていたとしても、
同一ドメイン内の別ページに「type="password"」が存在するだけで
勝手に、保存したパスワードと、その直前のINPUTに保存したIDを自動入力してしまいます。
「autocomplete="off"」も効きません。

厄介なのが画面描画してから自動入力する仕様らしく
ブラウザが勝手に入力した値でJquery1.7のchangeトリガーが働いてしまい
勝手に自動入力した値が、ユーザーが入力した値として意図しない処理が始まってしまいます。

これによって、APIのシークレットなどがログイン時のパスワードに書き換わってしまうような事象が発生しています
これは、ログイン以外には「type="password"」を使ってはいけないということなのでしょうか？
その場合、ショルダーハックを防ぐために入力した値をマスクしたい場合はなんのタイプを使うべきなのでしょうか？

一応、対策をしている記事もありますが
chrome更新のたびにバグが出ると困るので根本的な解決をしたいです
http://qiita.com/saitoxu/items/f565172da3028c1544f7

この件、どうするのが正解なのか
ご存知の方ご教授いただければ幸いです

行動規範の内容に同意します

回答1件

ベストアンサー

今後問題の発生しない根本的な解決策かは分かりませんが、onfocus のタイミングで readonly を削除する方法で回避しています。(Google Chrome v60.0.3112.90 で検証済み)
readonly 属性がついていれば、今後もパスワードの入力欄とは判定されないのかなと思っています。

正解かどうかわからない回答ですみません。
参考になれば幸いです。

html
1<input type="password" readonly onfocus="this.removeAttribute('readonly');">

投稿2017/08/09 15:23

編集2017/08/09 15:36

syuus

総合スコア403

tesopgmh

2017/08/10 01:00

おおお！ダミーのインプットを仕込む以外にもこんな方法があるんですね！たしかに、readonly 属性がついているフィールドに自動入力したりはしなそうですねわざわざ指定のバージョンで動作確認までしていただいてありがとうございます！フォーカスしてreadonly 属性が外れたタイミングで、このパスワードを使いますか？とツールチップが出るので、今後フォーカスのタイミングで聞かないで自動入力になるなど改悪される可能性もありそうではありますね。。。ログイン以外で「type="password"」を使うことなんてよくあることだと思うのですが chromeを作っている人はそこの所どう考えてるんですかね、、、てかgoogleのwebアプリはログイン以外で「type="password"」使ってないのでしょうか＠＿＠

行動規範の内容に同意します