必须用 request.ParseMultipartForm() 配合临时目录控制上传文件大小上限,避免大文件导致 OOM;默认会将整个 multipart/form-data 请求体加载进内存。
用 net/http 实现上传:别直接读整个文件到内存
Go 的 http.Request 默认把 multipart/form-data 请求体全部加载进内存,大文件(比如 500MB 视频)会直接 OOM。必须用 request.MultipartReader() 或更推荐的 request.ParseMultipartForm() 配合临时目录控制上限。
ParseMultipartForm(32 表示最多 32MB 存内存,超限部分写入磁盘临时文件 —— 这个值要显式设,否则默认是32 ,但文档没明说,容易漏- 上传字段名必须和前端
一致,后端用r.FormFile("file")获取,返回*os.File和*multipart.FileHeader -
FileHeader.Size是真实文件大小,可用于拦截超限上传;FileHeader.Filename是客户端传的原始名,不可信,需重命名防路径遍历
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
err := r.ParseMultipartForm(32 << 20) // 32MB 内存阈值
if err != nil {
http.Error(w, "Parse form error", http.StatusBadRequest)
return
}
file, header, err := r.FormFile("file")
if err != nil {
http.Error(w, "No file received", http.StatusBadRequest)
return
}
defer file.Close()
dst, err := os.Create("./uploads/" + sanitizeFilename(header.Filename))
if err != nil {
http.Error(w, "Create file failed", http.StatusInternalServerError)
return
}
defer dst.Close()
if _, err = io.Copy(dst, file); err != nil {
http.Error(w, "Save file failed", http.StatusInternalServerError)
return
}
w.WriteHeader(http.StatusOK)
w.Write([]byte("ok"))}
下载时用 http.ServeContent 而不是 io.Copy
直接 io.Copy(w, f) 无法支持断点续传、范围请求(Range)、Last-Modified 校验,浏览器下载大文件会卡死或失败。必须用 http.ServeContent,它自动处理 If-Modified-Since、Range 等头。
- 第一个参数是
http.ResponseWriter,第二个必须是http.Request(用于读取 Range 头),第三个是文件名(影响 Content-Disposition),第四个是文件修改时间,第五个是io.ReadSeeker - 文件必须支持
Seek(),所以打开时用os.Open,别用os.Create后再读 —— 后者是 write-only,不支持 seek - 如果文件路径来自用户输入(如
/download?id=xxx),务必校验路径是否在白名单目录内,防止../../../etc/passwd类攻击
func downloadHandler(w http.ResponseWriter, r *http.Request) {
filename := r.URL.Query().Get("name")
if filename == "" {
http.Error(w, "Missing name", http.StatusBadRequest)
return
}
// 白名单校验:只允许 ./uploads/ 下的文件
cleanPath := filepath.Join("./uploads", filepath.Base(filename))
if cleanPath != "./uploads/"+filename {
http.Error(w, "Invalid filename", http.StatusForbidden)
return
}
f, err := os.Open(cleanPath)
if err != nil {
http.Error(w, "File not found", http.StatusNotFound)
return
}
defer f.Close()
fi, _ := f.Stat()
http.ServeContent(w, r, filename, fi.ModTime(), f)}
并发上传时注意 os.Create 文件名冲突
多个请求同时上传同名文件(比如都叫 report.pdf),os.Create 会覆盖。不能靠加锁全局互斥,会严重降低吞吐。正确做法是生成唯一文件名:
- 用
uuid.NewString()(Go 1.20+)或crypto/rand生成随机前缀,拼上原始扩展名:uuid + filepath.Ext(header.Filename) - 不要用时间戳(
time.Now().UnixNano()),高并发下可能重复;也不要依赖客户端header.Filename做哈希,它可被篡改 - 如果业务需要保留原始名,可存在数据库或单独元数据文件里,文件系统只存 UUID 名
func sanitizeFilename(orig string) string {
ext := filepath.Ext(orig)
uuid := uuid.NewString()
return uuid + ext
}生产环境必须加中间件限制上传大小和超时
仅靠 ParseMultipartForm 不足以防御慢速攻击或恶
- 用
http.MaxBytesReader包裹r.Body,限制整个请求体大小(包括表单字段、文件内容、边界符) - 设置
http.Server.ReadTimeout和WriteTimeout,避免连接长时间 hang 住 - 上传接口建议单独路由,避免影响其他 API;下载接口若涉及敏感文件,必须鉴权(如检查 JWT token 或 session)
srv := &http.Server{
Addr: ":8080",
ReadTimeout: 30 * time.Second,
WriteTimeout: 60 * time.Second,
Handler: http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.URL.Path == "/upload" {
// 限制总请求体不超过 1GB
r.Body = http.MaxBytesReader(w, r.Body, 1024*1024*1024)
}
mux.ServeHTTP(w, r)
}),
}实际部署时,文件存储别硬编码 ./uploads/,应抽成配置项;上传成功后记得记录日志(含文件名、大小、IP);下载链接如果长期有效,考虑加签名或有效期,避免被爬虫批量盗链。
