httputil.NewSingleHostReverseProxy 是最轻量安全的 HTTP 反向代理起点,自动处理请求/响应头、连接复用和重定向;需通过 Director 自定义请求头或路径,注意同步 RawPath、清除 hop-by-hop 头;非 HTTP 流量须手动 TCP 桥接并严格管控超时与连接生命周期。
用 net/http/httputil 实现 HTTP 代理转发
Go 标准库的 net/http/httputil 提供了开箱即用的反向代理能力,httputil.NewSingleHostReverseProxy 是最轻量、最安全的起点。它自动处理请求头转发、响应头透传、连接复用和部分重定向逻辑,避免手动拼接 URL 或忽略 Host、Content-Length 等关键字段导致的 400/502 错误。
常见错误是直接用 http.DefaultTransport 发起新请求——这会丢失原始请
Host、RemoteAddr、HTTP/2 语义),且无法正确处理 100-continue 或分块传输。
package main
import (
"log"
"net/http"
"net/http/httputil"
"net/url"
)
func main() {
u, _ := url.Parse("http://127.0.0.1:8080")
proxy := httputil.NewSingleHostReverseProxy(u)
http.ListenAndServe(":8081", proxy)
}
需要改写请求头或路径时,必须重写 Director
Director 是 ReverseProxy 的核心钩子函数,用于修改即将发往后端的请求。不设置它,默认只替换 URL.Host 和 URL.Scheme;一旦涉及路径重写、添加认证头、抹除敏感头(如 X-Forwarded-For),就必须显式定义。
容易踩的坑:在 Director 中修改 req.URL.Path 后未调用 req.URL.RawPath 同步,或未清理 req.Header 中的 Connection、Keep-Alive 等 hop-by-hop 头,导致后端拒绝连接或返回 400。
- 路径前缀剥离:用
strings.TrimPrefix(req.URL.Path, "/api"),再赋值给req.URL.Path - 强制设置
Host:即使后端是 IP,也要设req.Header.Set("Host", "example.com") - 清除 hop-by-hop 头:
for _, h := range hopHeaders { req.Header.Del(h) }(hopHeaders可参考httputil.ReverseProxy源码)
代理非 HTTP 协议(如 TCP/HTTPS 直连)不能用 httputil
httputil.NewSingleHostReverseProxy 仅处理 HTTP/1.x 和部分 HTTP/2 请求。若需代理 HTTPS(即 TLS 握手直通)、SSH、Redis 或任意 TCP 流量,必须用 net.Listen + net.Dial 手动桥接字节流,且要自行处理连接生命周期、超时、缓冲区大小和 goroutine 泄漏。
典型错误是忽略读写超时或未用 io.Copy 的 cancelable 变体,导致一个卡死连接拖垮整个服务。建议对每个连接设置 SetReadDeadline 和 SetWriteDeadline,并用 context.WithTimeout 控制整体生命周期。
func handleTCPConn(clientConn net.Conn) {
defer clientConn.Close()
serverConn, err := net.Dial("tcp", "10.0.0.1:443")
if err != nil {
return
}
defer serverConn.Close()
// 并发双向拷贝,带超时控制
ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
defer cancel()
go func() {
io.Copy(serverConn, clientConn)
serverConn.Close()
}()
io.Copy(clientConn, serverConn)
}
生产环境必须加超时、限流和日志,否则极易被耗尽资源
默认的 http.Server 没有读写超时,恶意客户端可维持长连接、发送超大 body 或慢速攻击,迅速占满文件描述符。代理层没有限流时,突发流量会直接压垮后端,且无日志则无法定位是代理本身异常还是后端故障。
关键配置点:
-
ReadTimeout/WriteTimeout设为 30 秒内,避免连接悬挂 - 用
golang.org/x/time/rate在Handler层做每 IP 限流,而非依赖外部网关 - 记录真实客户端 IP(从
X-Real-IP或X-Forwarded-For取,但需校验可信跳数)和响应状态码 - 禁用
HTTP/1.1的Keep-Alive(设Header.Set("Connection", "close"))可显著降低连接复用带来的状态管理复杂度
代理看似简单,但真实场景中,90% 的问题出在头字段处理不一致、超时配置缺失、或把 HTTP 代理逻辑错用于非 HTTP 流量。先跑通 httputil 版本,再按需扩展,比从零手写更可靠。
