如何禁用浏览器默认密码弹窗？

问题在于，您没有对发送的用户名（即身份验证令牌）和（虚拟）密码进行Base64编码（这是HTTP基本身份验证方案的要求）。以下大致是您的代码应该如何编写：

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://onsip.highrisehq.com/account.xml');
xhr.setRequestHeader('Authorization', 'Basic ' + btoa(token + ':'));
xhr.onreadystatechange = function() { console.log(xhr.responseText); };
xhr.send();

我已经为您更换了子域名为'onsip'，但您仍需要用您的身份验证令牌替换token。

我知道在Firefox XUL代码中可以有两种方法来实现这个，但不适用于Web代码。其中一种方法我知道不适用于Google Chrome，而快速测试似乎表明另一种方法也不适用。

我想到了三个选项。

在可访问的服务器上设置一个密码检查页面（最好是同一台服务器），当通过安全连接查询时，它会回复一个指示用户/密码组合是否正确。如果你不是与运行此服务的服务器相关的人员，我会对你这样做感到不满，尽管成千上万的人都让Facebook等公司一直这样做！另一方面，说服人们不要像Facebook等公司一样这样做已经很难了，所以另一个人做同样的事情并不能帮助解决问题。
不要要求用户提供密码，内置提示将在每种情况下使用，并且是“正常”的用户/密码。个人而言，我更喜欢即使是基本的加密通道也比看起来像表单身份验证（不如Digest或其他模型在实际协议中隐藏某些密码）更加安全，因为虽然两者都可以对发送的密码进行一些奇怪和愚蠢的处理，但经验表明，表单更有可能由某些人创建，他们会说“当然我可以编写安全的代码，还需要考虑什么？”，而不是任何其他方案。
如果这是你自己的服务器，你可以用除401之外的其他内容响应错误的密码，并将其用作脚本中的信号以重新查询。最好为此设置一个特殊的“登录”URI，以便不会干扰更好行为的客户端。