autocomplete и безопасность: логин, карта и одноразовые коды
Стандартные токены `username`, `current-password`, `one-time-code` и почему их важно не выдумывать.
Корректный `autocomplete` помогает менеджерам паролей и SMS-кодам на iOS/Android подставлять значения в нужные поля.
Для OTP используйте `autocomplete="one-time-code"` и избегайте лишних обёрток, ломающих эвристики ОС.
- HTML autocomplete attribute — MDN — Список токенов и примеры.
2FA
Не храните одноразовый код в скрытом поле с `readonly` только ради автозаполнения — уточняйте по гайдам платформы.
После успешного входа помечайте форму `autocomplete="off"` только там, где это оправдано (например, поиск), а не на логине.