Golang中可基于net/http和mime/multipart实现安全的Web文件上传下载。需使用multipart/form-data表单,调用ParseMultipartForm解析,通过io.Copy保存文件并及时关闭句柄。
在Golang中实现Web文件上传与下载并不复杂,关键在于正确处理HTTP请求、解析表单数据以及安全地操作文件系统。通过标准库net/http和mime/multipart,我们可以高效完成这些功能,无需引入第三方框架。
实现文件上传
文件上传依赖于HTML表单的multipart/form-data编码类型。后端需解析这种格式的请求体,并将上传的文件保存到指定路径。
步骤说明:
- 使用
http.PostFormFile或r.ParseMultipartForm()解析上传内容 - 从
multipart.Form中获取文件句柄 - 使用
io.Copy将文件流写入本地磁盘 - 及时关闭文件句柄避免资源泄漏
示例代码:
立即学习“go语言免费学习笔记(深入)”;
func uploadHandler(w http.ResponseWriter, r *http.Request) {if r.Method != "POST" {
http.Error(w, "只支持 POST 方法", http.StatusMethodNotAllowed)
return
}
r.ParseMultipartForm(32 file, handler, err := r.FormFile("uploadFile")
if err != nil {
http.Error(w, "无法读取上传文件", http.StatusBadRequest)
return
}
defer file.Close()
out, err := os.Create("./uploads/" + handler.Filename)
if err != nil {
http.Error(w, "无法创建文件", http.StatusInternalServerError)
return
}
defer out.Close()
_, err = io.Copy(out, file)
if err != nil {
http.Error(w, "写入文件失败", http.StatusInternalServerError)
return
}
fmt.Fprintf(w, "文件 %s 上传成功", handler.Filename)
}
实现文件下载
文件下载的核心是设置正确的响应头,告诉浏览器以附件形式处理响应内容,从而触发下载行为。
关键点:
- 使用
w.Header().Set("Content-Disposition", "attachment; filename=...")指定下载文件名 - 设置
Content-Type为application/octet-stream表示二进制流 - 读取本地文件并写入响应体
- 注意路径安全,防止目录遍历攻击(如用户请求
../../etc/passwd)
示例代码:
立即学习“go语言免费学习笔记(深入)”;
func downloadHandler(w http.ResponseWriter, r *http.Request) {filename := r.URL.Query().Get("f")
if filename == "" {
http.Error(w, "缺少文件名", http.StatusBadRequest)
return
}
// 简单路径安全检查
if strings.Contains(filename, "..") || strings.Contains(filename, "/") {
http.Error(w, "非法文件名", http.StatusBadRequest)
return
}
filepath := "./uploads/" + filename
_, err := os.Stat(filepath)
if os.IsNotExist(err) {
http.Error(w, "文件不存在", http.StatusNotFound)
return
}
w.Header().Set("Content-Disposition", "attachment; filename="+filename)
w.Header().Set("Content-Type", "application/octet-stream")
http.ServeFile(w, r, filepath)
}
安全与性能优化建议
实际项目中,除了基本功能,还需关注安全性与稳定性。
-
限制文件大小:在
ParseMultipartForm中设定合理上限,防止内存溢出 - 校验文件类型:通过魔数(magic number)判断真实类型,而非仅依赖扩展名
- 重命名上传文件:使用UUID或时间戳避免冲突和覆盖
- 设置权限:确保上传目录不可执行,防止恶意脚本运行
- 启用HTTPS:敏感文件传输应加密,防止中间人窃取
基本上就这些。只要掌握multipart解析和响应头控制,Golang处理文件上传下载非常直接。关键是细节要到位,尤其是安全防护不能省略。
