Hej!

Har tänkt på en sak, en betalningslösning där man knappar in sitt kontonr t.ex. så vill man ju inte att det ska sparas av webbläsaren (iallfall jag). Finns det någon najs HTML-tag eller annan fix för att se till så att data i <input type="text"> fält inte sparas?

Mvh

Sorry, googlar man rätt hittar man rätt!

http://www.petefreitag.com/item/481.cfm

För att det skall fungera garanterat överallt så kan du göra så att varje inputruta som används får ett tillägg på namnet, ett slumpmässigt serienummer, som gör att webbläsarens autocomplete sätts ur spel.

Ex, en ruta som heter "kontonummer" istället heter "kontonummer293940848489". När scriptet som hanterar formuläret tar hand om det så hämtar du enkelt rätt information.

Ett alternativ är att använda sessionsfunktioner för att spara infon om vad formulärfälten heter. Nackdelen är att då kan "kunden" inte ha två formulär öppna samtidigt för att det skall fungera. Det kanske inte gör någonting i det aktuella fallet med i andra tillämpningar kan det göra något.

Rätta mig om jag har fel, men värdena kommer väl ändå att finnas sparade i webbläsarens cache, även om man med största sannolikhet inte kommer att märka det som användare. (En ond hacker skulle dock säkert kunna hitta kortnumren på hårddisken om h*n fick tillgång till datorn.)

Hur blir det förresten om man använder https:// istället för http:// sparas värdena i formulären då? Jag tippar på ja, men tycker att det är konstigt att det är så.

https är bara en säker överföring.. inte hur det lagras på datorn - rätta mig om jag har fel

Visseligen är det så, men då måste ett antal moment sammanfalla. 1. Den onda hackern måste känna till att just du besökt sidan. 2. Sidan måste ha varit besökt inom den tiden som webbläsarens cache är inställd på. 3. Den onda hackern måste komma åt din dator.

Allting går och är möjligt, men vad är sannolikheten.

Såvitt jag känner till så finns det med inget helt säkert sätt att veta att klientsidans webbläsare inte sparar innehållet i formulärfälten utan man kan bara se till att försöka att förhindra att situationen uppkommer genom att tex namnge fälten med unika id/namn.

Jo. visst är det så. Den onda hackern (nämnd ovan) får det svårare att hacka förbindelsen. Fast certifikatet kostar ju några kronor, om man inte skapar ett eget, men då måste användaren antingen spara/installera certifikatet eller godkänna det varje gång siten besöks. På en webbsite vi har så gör vi så. Man spar mellan 1000 och 2000 per år. Kostnaden är egentligen bara något man betalar för att ett institut skall "gå i god" för att certifikatet är autentiskt. På så sätt accepterar webbläsaren det utan att knorra. Listan på de institut/företag som webbläsaren litar på uppdateras med jämna mellanrum.

Varför itne bara: autocomplete="false" som argument i <form> ?

Det gör han ju redan i trådens andra inlägg.

Enligt länken i detta andra inlägg är autocomplete="false" inte standard. Fungerar således inte med säkerhet i alla webbläsare. En server-side-baserad lösning däremot är 100% kompatibel.