Chrome为何不自动填充已保存的密码？

一、表层现象：Chrome 密码自动填充“失灵”的直观表现

用户反复输入账号密码、点击登录后未触发预填充、地址栏未显示钥匙图标（🔒）、密码字段保持空值且无下拉建议——这些是前端可观察的典型症状。该层级无需技术介入即可复现，但极易被误判为“浏览器 Bug”或“网站问题”。值得注意的是，Chrome 92+ 在地址栏右侧新增了 “密码填充可用性指示器”（需启用 chrome://flags/#password-generation-indicator），为快速定性提供视觉线索。

二、协议与域名一致性校验：HTTPS/HTTP、www 与非 www 的隐式隔离

Chrome 将 https://example.com、http://example.com、https://www.example.com 视为完全独立的源（origin）。密码保存时若为 https://www.example.com/login，而当前访问的是 https://example.com/login，则匹配失败。可通过以下方式验证：

• 打开 chrome://settings/passwords → 搜索域名 → 查看「网址」列是否精确匹配当前页面 URL（含协议、子域、路径前缀）
• 使用 DevTools → Application → Clear storage → 勾选 “Cookies and other site data” + “Cached images and files”，再重新保存一次密码（强制重绑定 origin）

三、HTML 表单语义合规性深度分析

Chrome Autofill 引擎（基于 Autofill Heuristics v3）依赖严格的 DOM 语义信号。关键判定规则如下表所示：

四、Chrome 设置与同步账户策略解析

进入 chrome://settings/passwords 后需逐项确认：

• ✅ “自动填充密码” 已开启（开关位于顶部）
• ✅ “提供保存密码” 和 “自动登录” 均启用（二者为独立开关）
• ✅ 右上角 Google 头像显示的账户，与 chrome://settings/passwords 中「已保存密码所属账户」一致（多 Profile 场景下易错）
• ⚠️ 若使用 Chrome Enterprise 策略（PasswordManagerEnabled / AutomaticPasswordSavingEnabled），需检查 chrome://policy 是否被组织策略覆盖

五、扩展程序干扰的诊断与隔离流程

广告拦截器（uBlock Origin）、隐私增强工具（Privacy Badger）、第三方密码管理器（1Password、Bitwarden）常通过以下方式破坏 Autofill：

1. 重写 <input> 的 id/name 属性，切断语义关联
2. 注入 autocomplete="off" 到所有表单字段（历史遗留兼容逻辑）
3. 劫持 submit 事件并阻止默认行为，导致 Chrome 无法捕获“首次提交”信号

推荐排查路径：隐身窗口（无扩展）→ 正常？→ 是 → 逐个禁用扩展验证 → 定位冲突源。

六、开发者工具实战诊断链路（含 Mermaid 流程图）

在 DevTools 中执行结构化排查，顺序不可颠倒：

七、服务端与前端协同优化建议（面向全栈工程师）

对于 Web 应用开发者，应规避以下反模式：

• ❌ 在登录表单中全局添加 autocomplete="off"（Chrome 88+ 已忽略，但会触发降级逻辑）
• ❌ 使用 JavaScript 动态生成 input 并延迟设置 type="password"（破坏 DOM 解析时序）
• ✅ 推荐方案：服务端渲染完整表单，明确标注 autocomplete="username" / autocomplete="current-password"，并在 <form> 添加 data-chrome-autofill="true" 自定义标记便于 QA 审计

八、企业级部署中的策略绕过与合规边界

在受管环境（Chrome Browser Cloud Management）中，管理员可通过 Policy 强制启用 Autofill，但需注意：

• PasswordManagerEnabled = true 仅控制 UI 开关，不保证填充逻辑生效
• AutomaticPasswordSavingEnabled = true 影响密码保存，与填充无直接关系
• 真正影响填充的是 AutofillAddressEnabled 和 AutofillCreditCardEnabled —— 虽然命名指向地址/卡信息，但其底层共享同一 Autofill Service 实例，关闭任一可能引发连锁抑制

九、Chrome 版本演进对 Autofill 的架构影响（v85 → v125）

自 Chrome 85 起引入 Autofill Heuristics v2，到 Chrome 94 迁移至 v3（基于机器学习的 DOM 上下文建模），再到 Chrome 115+ 启用 Isolated Autofill Context（每个 iframe 独立填充上下文），其核心变化包括：

• ✅ 更强的跨 frame 表单识别能力（如 SSO 登录弹窗嵌套在主站 iframe 中）
• ⚠️ 对 Shadow DOM 支持仍有限（Web Component 场景下需显式暴露 slot="username" 等语义）
• 🔍 填充日志可通过 chrome://version → “Command Line” 添加 --enable-logging --v=1 启动，查看 Autofill 模块输出

十、终极验证清单（Checklist for Senior Engineers）

当所有常规手段失效，请按此顺序执行原子级验证：

1. ✅ 当前页面 URL 协议、主机、端口、路径前缀与 chrome://settings/passwords 中记录完全一致
2. ✅ DevTools → Elements → password input 的 autocomplete 值 ≠ "off" 且 ≠ "new-password"
3. ✅ 表单存在且包含 <input type="text/email"> 与 <input type="password">，且二者在 DOM 树中距离 ≤ 3 层嵌套
4. ✅ 已在当前页面完成至少一次成功表单提交（非 AJAX 提交，需原生 <form method="POST">）
5. ✅ chrome://flags/#password-generation-indicator 启用后，地址栏右侧出现钥匙图标
6. ✅ chrome://settings/syncSetup/advanced 中确认 “密码” 已勾选同步
7. ✅ 使用 chrome://net-internals/#events 过滤 autofill 事件，观察是否有 AutofillManager::OnQueryFormField 日志