Golang中通过net/http处理Cookie,服务端使用http.SetCookie设置、r.Cookie读取,客户端借助cookiejar自动管理,需注意HttpOnly、Secure、SameSite等安全实践。
在 Golang 中使用 net/http 处理 HTTP Cookie 是构建 Web 应用或客户端请求时的常见需求。Cookie 用于维持会话状态、用户身份识别或记录偏好设置。Golang 提供了简洁且标准的方式支持 Cookie 的设置、读取和管理,本文将详细介绍如何在服务端与客户端场景下控制和处理 Cookie。
服务端:设置与读取 Cookie
在 HTTP 服务端,你可以通过 http.SetCookie 函数向客户端发送 Cookie,也可以从请求中读取已有的 Cookie。
设置 Cookie 示例:
使用 http.SetCookie 向响应中写入 Cookie:
立即学习“go语言免费学习笔记(深入)”;
func setCookieHandler(w http.ResponseWriter, r *http.Request) {
cookie := &http.Cookie{
Name: "session_id",
Value: "abc123xyz",
Path: "/",
Domain: "localhost",
Expires: time.Now().Add(24 * time.Hour),
MaxAge: 86400,
HttpOnly: true,
Secure: false, // 开启 HTTPS 后应设为 true
SameSite: http.SameSiteStrictMode,
}
http.SetCookie(w, cookie)
fmt.Fprintf(w, "Cookie 已设置")
}
读取 Cookie 示例:
从请求中获取指定名称的 Cookie:
func readCookieHandler(w http.ResponseWriter, r *http.Request) {
cookie, err := r.Cookie("session_id")
if err != nil {
if err == http.ErrNoCookie {
http.Error(w, "Cookie 不存在", http.StatusNotFound)
return
}
http.Error(w, "服务器错误", http.StatusInternalServerError)
return
}
fmt.Fprintf(w, "Session ID: %s", cookie.Value)
}
你也可以遍历所有 Cookie:
for _, c := range r.Cookies() {
fmt.Printf("Name: %s, Value: %s\n", c.Name, c.Value)
}
客户端:自动管理 Cookie(使用 CookieJar)
当使用 http.Client 发起请求时,若需自动保存和发送 Cookie(如模拟登录会话),可借助 net/http/cookiejar 包实现自动管理。
启用 CookieJar 示例:
jar, _ := cookiejar.New(nil) // 使用默认策略(基于域名)
client := &http.Client{
Jar: jar,
}
// 第一次请求:登录并接收 Set-Cookie
resp, _ := client.Get("https://www.php.cn/link/052c3ffc93bd3a4d5fc379bf96fabea8")
resp.Body.Close()
// 后续请求会自动带上之前收到的 Cookie
resp2, _ := client.Get("https://www.php.cn/link/3bddd1aafe78ece8cf3ed90b61d847d8")
CookieJar 会根据 RFC 6265 自动处理域、路径、过期时间等规则,无需手动维护。
自定义 Cookie 策略
若需要更精细控制 Cookie 存储逻辑(如过滤特定 Cookie 或跨子域共享),可实现 http.CookieJar 接口:
type CustomJar struct {
cookies map[string][]*http.Cookie
}
func (j CustomJar) SetCookies(u url.URL, cookies []*http.Cookie) {
key := u.Hostname()
j.cookies[key] = append(j.cookies[key], cookies...)
}
func (j CustomJar) Cookies(u url.URL) []*http.Cookie {
return j.cookies[u.Hostname()]
}
然后传入自定义的 Jar:
jar := &CustomJar{cookies: make(map[string][]*http.Cookie)}
client := &http.Client{Jar: jar}
安全与最佳实践
合理使用 Cookie 不仅关乎功能实现,也影响安全性与用户体验。
- 敏感数据不要明文存储:避免将用户密码、令牌等直接放入 Cookie 值中,建议使用加密 Session ID 并在服务端映射真实信息。
- 启用 HttpOnly 和 Secure 标志:防止 XSS 攻击窃取 Cookie,Secure 可确保仅通过 HTTPS 传输。
- 合理设置有效期:短期会话使用 MaxAge,长期记住用户才用 Expires,并允许用户主动清除。
- SameSite 防止 CSRF:推荐设置为 SameSiteLax 或 SameSiteStrictMode,减少跨站请求伪造风险。
基本上就这些。Golang 的 net/http 对 Cookie 的支持足够清晰且灵活,无论是编写 Web 服务还是构建带状态的 HTTP 客户端,都能高效完成 Cookie 控制与处理。关键在于理解其结构字段含义,并结合安全策略正确使用。
