HTML5的type="password"仅提供前端掩码,不实现真正加密;密码安全需HTTPS传输、服务端强哈希存储及前后端协同防护。
HTML5 本身不提供密码字段的“加密显示”功能——密码输入框()只是默认隐藏明文,用圆点或星号掩码显示,数据在传输和存储时仍需后端或JS配合加密。所谓“加密显示”,本质是前端掩码 + 安全传输 + 合理存储的组合实践,不是单靠 HTML 标签就能完成的。
1. 正确使用 password 类型输入框
这是最基础且必须的步骤:浏览器会自动屏蔽键盘输入回显、禁用复制粘贴(部分浏览器)、防止被开发者工具轻易抓取明文(非绝对)。注意不要误用 type="text" 加 CSS 遮盖,这毫无安全性可言。
- ✅ 正确写法:
- ❌ 错误写法:
(text-security非标准属性,不兼容,且不防审查元素) - 避免在
value属性中预填密码(如value="123456"),易被页面源码或日志泄露
2. 前端仅做轻量级掩码增强(可选)
若需更严格的视觉控制(例如防止录屏/肩窥),可结合 JavaScript 实现动态掩码,但不能替代 HTTPS 和服务端加密:
- 监听
input事件,实时将输入值存入内存变量,同时清空input.value并显示统一字符(如 ●) - 提交前再将内存中的真实值赋给隐藏域或通过 JS 发送
- 务必禁用浏览器自动填充(
autocomplete="off"或更严格的autocomplete="new-password")
3. 必须启用 HTTPS 与安全传输
没有 HTTPS,所有前端“加密”都形同虚设——密码会以明文在网络中传输,中间人可直接截获。
立即学习“前端免费学习笔记(深入)”;
- 确保整个登录流程(含表单 action 地址)走
https:// - 设置响应头
Strict-Transport-Security(HSTS),强制后续访问走 HTTPS - 避免在 URL 参数、日志、控制台
console.log()中打印密码原文
4. 密码绝不前端加密存储或“伪哈希”
有人试图用 JavaScript 对密码做 MD5、SHA-256 再提交——这反而制造新风险:
- 攻击者只需复现你的前端哈希逻辑,就能用哈希值直接登录(等效于把密码换成哈希当新密码)
- 真正安全的做法:前端传明文(经 HTTPS 加密通道),服务端用强哈希(如 bcrypt、Argon2)加盐存储
- 若需额外防护(如防撞库),应在服务端启用多因素认证或风控策略,而非前端“混淆”
type="password" 只是第一道门,关好后面的门(HTTPS、服务端哈希、权限控制)才真正可靠。 
