Go 中管理静态资源需用 http.FileServer 配合路由注册,关键在于路径匹配与安全防护;应使用绝对路径防止目录穿越,通过 StripPrefix 解耦 URL 前缀与本地路径,并可自定义 Handler 控制目录列表、Header 等行为。
在 Go 中管理静态资源,核心是用 http.FileServer 搭配路由注册,把本地文件目录映射为可访问的 HTTP 路径。关键不是“放哪”,而是“怎么暴露”和“路径怎么对得上”。
用 FileServer 提供静态文件服务
http.FileServer 本身不处理请求,它返回一个 http.Handler,需要手动挂到路由上。最简方式是直接传入 http.Dir:
fs := http.FileServer(http.Dir("./static"))
http.Handle("/static/", fs)
注意结尾的 /:加了它,访问 /static/logo.png 时会自动从 ./static/logo.png 读取;不加则需完全匹配路径,容易 404。
避免路径穿越风险(安全要点)
默认 FileServer 会拒绝 ../ 这类路径,但前提是传入的 http.Dir 是绝对路径。相对路径可能被绕过。稳妥做法是显式转成绝对路径:
- 用
filepath.Abs("./static")获取绝对路径 - 再用
http.Dir(absPath)构造文件服务器 - 这样即使 URL 里有
..,也会被安全拦截
自定义文件服务器行为(比如隐藏 index.html)
如果不想让访问 /static/ 自动显示目录或返回 index.html,可以包装一层 Handler:
fs := http.FileServer(http.Dir("./static"))
http.Handle("/static/", http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
// 禁止列出目录
if strings.HasSuffix(r.URL.Path, "/") {
http.NotFound(w, r)
return
}
fs.ServeHTTP(w, r)
}))
也可以在这里统一加 Header、重写路径、做权限判断等。
与 Gorilla Mux 
或 Gin 等路由库配合
或 Gin 等路由库配合用第三方路由时,本质不变,只是注册方式不同:
- Gorilla Mux:
r.PathPrefix("/assets/").Handler(http.StripPrefix("/assets", http.FileServer(http.Dir("./public")))) - Gin:
r.Static("/media", "./uploads")(内置封装,自动 StripPrefix) - 关键是确保 URL 前缀和本地路径解耦,用
StripPrefix去掉前缀再交给 FileServer
基本上就这些。不需要额外依赖,标准库足够用,重点是路径拼对、权限收严、前缀处理干净。
