在 javascript 重定向中,直接将邮箱(含 `@`、`.` 等特殊字符)拼入 url 会导致解析失败;必须使用 `encodeuricomponent()` 对参数值进行 uri 编码,确保 url 合法且可被服务器正确解析。
当你通过 window.location.replace() 或 window.location.href 进行页面跳转,并将用户输入的邮箱作为 URL 查询参数(如 ?sender=user@example.com)时,必须注意:URL 规范(RFC 3986)明确规定 @、.、/、?、=、& 等字符在查询字符串中属于保留字符或不安全字符,若未经编码直接插入,可能被浏览器截断、误解析,甚至触发安全拦截(如 Cloudflare 的邮箱混淆保护,正如你控制台中看到的 片段)。
✅ 正确做法是:对邮箱值调用 encodeURIComponent(),它会将 @ 编码为 %40,. 编码为 %2E,空格为 %20 等,生成符合标准的 URI 安全字符串。
以下是修复后的完整代码示例:
⚠️ 注意事项:
立即学习“Java免费学习笔记(深入)”;
- 不要使用 encodeURI():它不会编码 @、/、?、=、& 等字符,仅适用于完整 URL 编码;而 encodeURIComponent() 专为单个 URI 组件(如查询参数值) 设计,更严格、更安全。
- 表单默认提交需阻止:原代码中 type="submit" 触发了表单默认提交,与 JS 重定向冲突。建议用 event.preventDefault() 显式阻止,或改用普通按钮(type="button")。
- 服务端需解码:后端接收 sender 参数时(如 Node.js、PHP、Python),应自动或手动进行 URL 解码(如 decodeURIComponent() 或框架内置解析),才能还原原始邮箱。
- 邮箱验证建议增强:虽然 ail"> 提供基础校验,仍建议在 JS 中补充正则判断(如 /^[^\s@]+@[^\s@]+\.[^\s@]+$/),提升健壮性。
总结:URL 参数 ≠ 原始字符串。任何用户输入(尤其是含 @、空格、中文、emoji 等)都必须经 encodeURIComponent() 处理后再拼接——这是前端 URL 构建的黄金准则,也是避免重定向失败、参数丢失或 XSS 风险的关键一步。
