安全上传需先调用 r.ParseMultipartForm(32
go 语言实现文件上传下载,核心在于正确处理 multipart/form-data 请求体、安全地保存文件、设置合适的 http 响应头,并避免常见路径遍历与资源耗尽风险。直接用 http.ServeFile 或裸写 io.copy 很容易出问题,必须控制边界。
如何安全接收并保存上传的文件
不能直接用 r.FormFile 拿到文件后无校验写入磁盘——攻击者可构造超大文件或恶意文件名。关键步骤是:
- 调用
r.ParseMultipartForm(32 显式限制内存缓冲上限(如 32MB),防止 OOM - 用
formFile, header, err := r.FormFile("file")获取文件句柄和原始文件名,不要信任header.Filename - 用
path.Base(header.Filename)提取基础名,再通过strings.ReplaceAll清除点号和斜杠,或使用白名单扩展名校验(如只允许.pdf,.png) - 生成服务端唯一文件名(如
uuid.New().String() + ext),写入前检查目标目录是否存在且可写
示例片段:
dst, err := os.Create(filepath.Join(uploadDir, safeName)) if err != nil { http.Error(w, "无法创建文件", http.StatusInternalServerError) return } defer dst.Close() if _, err := io.Copy(dst, formFile); err != nil { http.Error(w, "写入失败", http.StatusInternalServerError) return }为什么 http.ServeFile 不适合直接提供下载
它不支持自定义响应头、无法做权限校验、会暴露真实路径结构,且对中文文件名支持差。正确做法是手动构造响应:
立即学习“go语言免费学习笔记(深入)”;
- 先用
os.Stat检查文件是否存在且大小合理(防符号链接穿越) - 设置
w.Header().Set("Content-Disposition", fmt.Sprintf(`attachment; filename="%s"`, url.PathEscape(realName))),确保浏览器正确解析中文名 - 设置
Content-Type(用mime.TypeByExtension推断,未知时 fallback 到application/octet-stream) - 用
http.ServeContent而非io.Copy,它支持断点续传(Range头)和条件请求(If-Modified-Since)
如何避免上传时阻塞整个 HTTP handler
大文件上传本身不阻塞,但若在 handler 中同步处理(如压缩、转码、扫描病毒),会拖慢其他请求。应对方式:
- 上传完成后,只保存原始文件并返回成功,把后续任务推入队列(如用
channel或简单内存队列 + goroutine 处理) - 避免在 handler 内打开多个大文件句柄;
formFile是流式读取,但若反复Seek(0)可能触发临时磁盘缓存,需注意MaxMemory设置 - 如需限速,可在
io.Copy时包装一个带速率控制的io.Reader(如用golang.org/x/time/rate)
生产环境必须关闭的默认行为
Go 的 http.Server 默认配置不适合文件服务:
- 禁用
Server.Handler的默认日志(避免每行上传都刷屏),改用结构化日志记录关键事件(如文件名、大小、状态码) - 设置
ReadTimeout和WriteTimeout(如 5 秒读,30 秒写),防止慢速攻击耗尽连接 - 明确设置
MaxHeaderBytes(如1 ),否则超长Content-Disposition可能导致 panic - 如果走反向代理(Nginx),确保它未截断大 body,且透传了
Content-Type和Content-Length
文件名编码、路径净化、流式处理、超时控制——这些细节不显眼,但线上出问题时,90% 都卡在这几处。