必须显式设置 parsemultipartform 的最大内存阈值(如 32
限制文件大小和类型,避免内存溢出与恶意文件执行
Go 的 http.Request.ParseMultipartForm 默认不限制上传体积,攻击者可发送超大文件耗尽服务器内存。必须显式设置最大内存阈值,并在解析前检查 Content-Type 和文件扩展名。
- 调用
r.ParseMultipartForm(32 限制内存缓冲为 32MB(超出部分写入临时磁盘) - 从
r.MultipartForm.File["file"]获取*multipart.FileHeader后,先校验header.Size是否超过业务允许上限(如 10MB) - 仅信任
header.Header.Get("Content-Type")做 MIME 类型白名单校验(如"image/jpeg"),不依赖后缀名——攻击者可伪造.jpg但内容是 PHP 脚本 - 若需扩展名校验,应从文件头(magic bytes)识别真实类型,例如用
github.com/h2non/filetype库读取前 262 字节判断
防止路径遍历与覆盖,确保文件写入安全目录
用户提交的文件名不可直接拼接进 os.OpenFile 路径,否则 ../../../etc/passwd 这类 payload 会导致任意文件写入。
- 用
filepath.Base(filename)截取原始文件名,再通过正则(如^[a-zA-Z0-9._-]+$)过滤非法字符 - 生成服务端唯一文件名(如
uuid.New().String() + ".jpg"),完全抛弃客户端传来的 name 字段 - 目标目录必须是绝对路径且预先创建好,写入前用
filepath.Join(uploadDir, safeName)拼接,再调用filepath.EvalSymlinks确认最终路径未逃逸出uploadDir - 禁止将上传目录设为 Web root 子目录——应存于静态资源不可达路径,通过独立 handler 提供受权限控制的下载服务
启用防病毒扫描与异步处理,避免阻塞 HTTP 请求
同步调用杀毒引擎会拖慢响应,且 Go HTTP handler 有默认 30 秒超时,大文件扫描易触发 timeout。
- 上传成功后只保存原始文件,立即返回 JSON 告知“已接收,正在扫描”,不等扫描结果
- 用
os/exec.Command调用本地 ClamAV 的clamdscan或集成云查毒 API,通过消息队列(如 Redis Streams)解耦扫描任务 - 扫描完成后更新数据库中该文件的
status字段("clean"/"infected"),前端轮询或 WebSocket 通知结果 - 若必须同步拦截,至少设置
cmd.Start()后用time.AfterFunc强制终止子进程,防止杀毒程序卡死
使用临时存储与原子写入,防止上传中断导致脏数据
直接 file.WriteTo(dst) 可能因网络中断留下不完整文件,后续逻辑误判为有效文件。
立即学习“go语言免费学习笔记(深入)”;
- 先写入临时路径(如
filepath.Join(os.TempDir(), "upload_"+uuid.New().String())) - 写入完成后调用
os.Chmod(tempPath, 0600)降低临时文件被读取风险 - 校验文件哈希(
sha256.Sum256)与客户端传来的X-File-HashHeader 一致后再os.Rename到目标位置——该操作在大多数文件系统上是原子的 - HTTP handler 返回前用
defer os.Remove(tempPath)清理残留临时文件,但注意:若重命名失败,需保留临时文件供人工排查
Content-Type 头可被任意篡改,而仅靠扩展名过滤又无法识别伪装成图片的 WebShell。这两个检查缺一不可。 
