<input> autocomplete 属性 <input autocomplete="on/off"> (HTML 5新特性)
网页中不使用浏览器记住密码
大部分浏览器都是根据表单域的type="password"来判断密码域的,所以针对这种情况可以采取“动态设置密码域”的方法:
<input type="text" name="password" οnfοcus="this.type='password'" />
解释:当这个文档框获取焦点时才将其变成密码域,这样浏览器就不会记住密码,当然为了更加完善,还可以把autocomplete="off"属性也加上。
img标签srcset、sizes属性 (HTML 5.1规范)详见《H5中<img>的srcset、size属性及<picture>介绍》
srcset
用来声明一组图像源,浏览器根据我们使用描述符指定的条件来选择图像。描述符x
表示图像的像素密度,描述符w
表示图像的宽度;浏览器使用这些信息从列表中选择合适的图像。sizes
属性为浏览器提供将要显示图像的尺寸信息,srcset
使用w
描述符时必须包含此属性。
X-Frame-Options
The
X-Frame-Options
HTTP 响应头是用来给浏览器 指示允许一个页面 可否在<frame>
,<iframe>
,<embed>
或者<object>
中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。Note: CSP Level 2 的 frame-ancestors 指令標準雖然已經取代了非標準的 X-Frame-Options,而自 Gecko 4.0 起也開始支援 frame-ancestors 指令,但因為並非所有瀏覽器都支援 frame-ancestors,所以 支援度較廣的 X-Frame-Options 還是可以和 CSP 一起採用。
X-Frame-Options
有三个可能的值:
deny
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin
表示该页面可以在相同域名页面的 frame 中展示。allow-from uri
表示该页面可以在指定来源的 frame 中展示。 比如:X-Frame-Options: allow-from https://example.com/实例应用如下图: