使用 http.fileserver 提供静态文件服务时,必须显式指定安全根目录(如 http.dir(“/path/to/uploads”)),禁用路径遍历,并通过中间件校验 url 路径;文件上传需另写 post handler,调用 r.parsemultipartform 解析 multipart/form-data。
用 http.FileServer 快速提供静态文件服务,但别直接暴露根目录
直接用 http.FileServer 能 5 行代码起一个文件服务,但默认行为极危险:如果路径控制不当,可能泄露 /etc/passwd 或项目源码。必须显式限制服务根目录,并禁用路径遍历。
- 永远用
http.Dir("/path/to/uploads")指向专用上传目录,不要用http.Dir(".")或http.Dir("/") - 在 handler 前加一层中间件校验
r.URL.Path,拒绝含..、/开头或空路径的请求 -
http.FileServer不处理 POST,它只读;上传必须另写 POST handler
接收文件上传时,用 r.ParseMultipartForm 而不是直接读 r.Body
浏览器表单提交的文件是 multipart/form-data 编码,直接读 r.Body 会拿到原始二进制边界数据,解析极其复杂。golang 标准库已封装好解析逻辑,但需主动触发。
- 必须先调用
r.ParseMultipartForm(32 (例如限制 32MB),否则 <code>r.MultipartForm为 nil,r.FormFile会 panic -
r.FormFile("file")返回*multipart.FileHeader,它的Size是客户端声明大小,不可信;应边保存边计算实际字节数做校验 - 文件名来自
header.Filename,可能含路径(如../../.bashrc),务必用filepath.Base()截取干净文件名
保存文件前,用 os.OpenFile 配合 os.O_CREATE | os.O_WRONLY | os.O_EXCL 防覆盖
用户上传同名文件时,是覆盖旧文件还是拒绝?业务逻辑决定,但默认策略应是拒绝——避免意外覆盖关键资源或引发竞态条件。
- 用
os.O_EXCL标志打开文件,若文件已存在,OpenFile返回*os.PathError,错误信息含"file exists"字样,可据此返回 409 - 不要用
os.Stat+os.Create两步判断,存在竞态窗口:Stat 说不存在,但另一请求在 Create 前已创建该文件 - 生成唯一文件名更稳妥:用
uuid.New().String()+ 原扩展名,而非依赖用户传的Filename
用 io.CopyN 或带限速的 io.Copy 控制上传带宽和内存占用
大文件上传(如 1GB 视频)不加限制会导致内存暴涨或耗尽连接数。标准 io.Copy 默认 32KB 缓冲区,但对慢速客户端仍可能堆积大量 goroutine。
立即学习“go语言免费学习笔记(深入)”;
- 对单个上传连接,可用
io.LimitReader(file, maxFileSize)包裹上传流,超限后后续读取返回 EOF - 若需全局限速(如总上传带宽 ≤100MB/s),用
golang.org/x/time/rate.Limiter在 handler 开头limiter.Wait(r.Context()) - 避免把整个文件读进
[]byte再写磁盘——io.Copy流式转发即可,内存占用恒定
文件存储服务真正的难点不在“存”和“取”,而在于边界控制:路径是否越界、大小是否超限、名字是否可信、并发是否安全。这些点漏掉任意一个,上线后都可能变成线上事故。