go语言通过net/http包支持HTTP cookie的设置、读取与删除,需注意Path、Secure、HttpOnly、SameSite等安全配置,并推荐使用gorilla/securecookie等库签名加密敏感数据。
Go语言通过net/http包提供了对HTTP Cookie的完整支持,包括设置、读取、解析和安全控制。核心在于http.Cookie结构体和http.SetCookie、r.Cookie等方法,操作简洁但需注意细节(如路径、域名、Secure/HttpOnly标志)。
设置Cookie(服务端下发)
使用http.SetCookie向响应头写入Cookie。需构造http.Cookie结构体,关键字段包括Name、Value、Path、MaxAge、Secure、HttpOnly等。
MaxAge :不设过期时间(会话级Cookie,浏览器关闭即失效)-
MaxAge = 0:立即删除(浏览器收到后清除该Cookie) -
Secure = true:仅通过https传输(生产环境必须开启) -
HttpOnly = true:禁止js访问,防xss窃取
示例:
cookie := &http.Cookie{ Name: "session_id", Value: "abc123xyz", Path: "/", MaxAge: 3600, // 1小时 HttpOnly: true, Secure: true, // 开发时若无HTTPS可暂设false,上线务必true SameSite: http.SameSiteLaxMode, } http.SetCookie(w, cookie)读取Cookie(服务端接收)
用r.Cookie(name)获取单个Cookie,返回*http.Cookie和Error;用r.Cookies()获取全部Cookie切片。
立即学习“go语言免费学习笔记(深入)”;
- 若Cookie不存在,
r.Cookie()返回http.ErrNoCookie错误,应显式判断 - Cookie的
Value是字符串,如需结构化数据(如用户ID、权限),建议先json序列化再存,读取后反序列化 - 不要直接信任客户端传来的Cookie值,尤其涉及权限或敏感操作时,需服务端校验(如查数据库、验证签名)
示例:
cookie, err := r.Cookie("session_id") if err == http.ErrNoCookie { http.Error(w, "未登录", http.StatusUnauthorized) return } if err != nil { http.Error(w, "读取Cookie失败", http.StatusInternalServerError) return } fmt.Println("收到 session_id:", cookie.Value)删除Cookie(服务端主动清除)
本质是下发一个同名、空值、MaxAge=0 的Cookie,让浏览器覆盖原值并立即丢弃。
- 必须保证
Name、Path、Domain与原Cookie完全一致,否则无法清除 - 推荐显式设置
Path(如"/"),避免因路径不匹配导致清除失败 - 若原Cookie设了
Secure或SameSite,删除时也应保持一致
示例:
delCookie := &http.Cookie{ Name: "session_id", Value: "", Path: "/", MaxAge: 0, Secure: true, HttpOnly: true, } http.SetCookie(w, delCookie)进阶:签名与加密保护Cookie
标准Cookie明文传输,敏感信息(如用户ID、角色)不可直接存。推荐使用gorilla/securecookie或golang.org/x/crypto/nacl/secretbox等库做签名/加密。
- 签名(SecureCookie):防止篡改,适合存非敏感但需校验的数据(如user_id+timestamp)
- 加密(AES/NaCl):完全隐藏内容,适合存Token、临时凭证等
- 避免自己实现加解密逻辑,优先选用成熟库并严格保管密钥
简单签名示例(需引入github.com/gorilla/securecookie):
var s = securecookie.New( securecookie.GenerateRandomKey(32), // auth key securecookie.GenerateRandomKey(32), // encrypt key ) // 编码 encoded, err := s.Encode("session", map[string]interface{}{"uid": 123, "exp": time.Now().Add(time.Hour).Unix()}) // 解码 var value map[string]interface{} err := s.Decode("session", encoded, &value)基本上就这些。Cookie操作本身不复杂,但安全细节容易忽略——路径匹配、HTTPS强制、HttpOnly、SameSite策略、服务端校验缺一不可。