如果不使用客户端和服务器端代码的组合，似乎不可能实现这一点。

为了确保用户每次都必须填写表单而不必自动完成，我使用了以下技术：

在服务器上生成表单字段名称，并使用隐藏的输入字段来存储这些名称，以便在提交到服务器时，服务器端代码可以使用生成的名称来访问字段值。这是为了阻止用户选择自动填充字段。在表单上放置每个表单字段的三个实例，并使用css隐藏每个集合的第一个和最后一个字段，然后在使用javascript加载页面后禁用它们。这是为了防止浏览器自动填写字段。

这里有一个fiddle演示了javascript、css和html，如#2所述https://jsfiddle.net/xnbxbpv4/

javascript代码：

$(document).ready(function() {
    $(".disable-input").attr("disabled", "disabled");
});

css：

.disable-input {
  display: none;
}

html格式：

<form>
<input type="email" name="username" placeholder="username" class="disable-input">
<input type="email" name="username" placeholder="username">
<input type="email" name="username" placeholder="username" class="disable-input">
<br>
<input type="password" name="password" placeholder="password" class="disable-input">
<input type="password" name="password" placeholder="password">
<input type="password" name="password" placeholder="password" class="disable-input">
<br>
<input type="submit" value="submit">
</form>

下面是一个使用asp.net和razor的服务器代码的粗略示例

型号：

public class FormModel
{
    public string Username { get; set; }
    public string Password { get; set; }
}

控制器：

public class FormController : Controller
{
    public ActionResult Form()
    {
        var m = new FormModel();

        m.Username = "F" + Guid.NewGuid().ToString();
        m.Password = "F" + Guid.NewGuid().ToString();

        return View(m);
    }

    public ActionResult Form(FormModel m)
    {
        var u = Request.Form[m.Username];
        var p = Request.Form[m.Password];

        // todo: do something with the form values

        ...

        return View(m);
    }
}

视图：

@model FormModel

@using (Html.BeginForm("Form", "Form"))
{
    @Html.HiddenFor(m => m.UserName)
    @Html.HiddenFor(m => m.Password)

    <input type="email" name="@Model.Username" placeholder="username" class="disable-input">
    <input type="email" name="@Model.Username" placeholder="username">
    <input type="email" name="@Model.Username" placeholder="username" class="disable-input">
    <br>
    <input type="password" name="@Model.Password" placeholder="password" class="disable-input">
    <input type="password" name="@Model.Password" placeholder="password">
    <input type="password" name="@Model.Password" placeholder="password" class="disable-input">
    <br>
    <input type="submit" value="submit">
}

我们确实在一个网站上使用了sasb的想法。

这是一个运行医生办公室的医疗软件网络应用程序。然而，我们的许多客户都是外科医生，他们使用了许多不同的工作站，包括半公共终端。因此，他们希望确保一个不了解自动保存密码含义或不注意的医生不会意外地将登录信息轻易地留下。

当然，这是在Internet Explorer 8、Firefox 3.1等开始出现私人浏览的想法之前出现的。即便如此，许多医生还是被迫在医院使用老式浏览器，而这些浏览器的IT功能不会改变。

因此，我们让登录页面生成仅适用于该帖子的随机域名。是的，这不太方便，但这只是在打击用户不在公共终端上存储登录信息。

我不得不对那些说要避免禁用自动完成的答案表示异议。

首先要指出的是，未在登录表单字段上显式禁用自动完成是PCI-DSS失败。此外，如果用户的本地计算机受到威胁，则攻击者可以轻松地获取任何自动完成的数据，因为这些数据存储在明文中。

当然，可用性是有争议的，但在哪些表单字段应该禁用自动完成功能，哪些表单字段不应该禁用自动填写功能时，存在一个非常好的平衡。

除了设置autocomplete=off之外，您还可以通过生成页面的代码随机化表单字段名称，或者在名称末尾添加一些特定于会话的字符串。

提交表单后，您可以在服务器端处理表单之前剥离该部分。这将阻止web浏览器查找字段的上下文，也可能有助于防止XSRF攻击，因为攻击者无法猜测表单提交的字段名称。

不幸的是，大多数浏览器都删除了此选项，因此无法禁用密码提示。

直到今天，我还没有找到解决这个问题的好办法。我们现在剩下的是希望有一天这种选择会回来。

如果您在JavaScript中动态设置autocomplete=“off”，Safari不会改变对自动完成的看法。然而，如果您在每个字段的基础上执行此操作，则会受到尊重。

$(':input', $formElement).attr('autocomplete', 'off');