这是一个很好的前端安全问题。该情况通常是通过以下几种技术实现的:
1. input type="password" 属性
最基础的方法,浏览器会自动隐藏密码值:
html
<input type="password" id="password" name="password">在DOM中你只能看到这个元素,但看不到实际的输入内容。
2. JavaScript 动态处理
更高级的方法包括:
实时替换显示值
javascript
const passwordInput = document.getElementById('password');
passwordInput.addEventListener('input', function(e) {
// 实际值存储在data属性或变量中
this.setAttribute('data-real-value', e.target.value);
// 显示值用●或*替换
this.value = '●'.repeat(e.target.value.length);
});使用隐藏的input存储真实值
javascript
const displayInput = document.getElementById('password-display');
const realInput = document.getElementById('password-real');
displayInput.addEventListener('input', function(e) {
realInput.value = e.target.value;
displayInput.value = '●'.repeat(e.target.value.length);
});3. 框架级别的保护
现代前端框架如React、Vue会:
- 使用受控组件管理状态
- 密码值存储在组件状态中,不直接暴露在DOM
4. 浏览器安全机制
即使看到value属性,现代浏览器也会:
- 在开发者工具中屏蔽password类型的值显示
- 防止通过脚本轻易获取其他页面的密码输入
如何验证?
你可以尝试:
- 在Console中输入:
document.querySelector('input[type="password"]').value - 查看Network标签,观察表单提交时的数据
- 检查是否有隐藏的input元素
这种设计主要是为了防止肩窥攻击,保护用户的密码安全。