使用 http.HandleFunc 处理 multipart/form-data 上传需先调用 r.ParseMultipartForm(32
用 http.HandleFunc 接收 multipart/form-data 文件上传
Go 标准库的 net/http 原生支持 multipart/form-data,不需要额外依赖。关键在于调用 r.ParseMultipartForm(或 r.ParseForm)触发解析,否则 r.MultipartForm 为空,r.FormFile 会返回 http.ErrMissingFile。
- 必须设置
MaxMemory,否则大文件会直接写临时磁盘,且不设上限易被恶意上传打满磁盘 -
r.FormFile("file")返回的是*multipart.FileHeader,不是文件内容本身 - 前端
的name属性值必须和FormFile第一个参数一致
func uploadHandler(w http.ResponseWriter, r *http.Request) { if r.Method != "POST" { http.Error(w, "Method not allowed", http.StatusMethodNotAllowed) return } // 必须先解析,且限制内存使用(例如 32MB) err := r.ParseMultipartForm(32 << 20) if err != nil { http.Error(w, "Unable to parse form", http.StatusBadRequest) return } file, header, err := r.FormFile("file") if err != nil { http.Error(w, "No file uploaded or parsing failed", http.StatusBadRequest) return } defer file.Close() // 保存到本地(示例路径) dst, err := os.Create("./uploads/" + header.Filename) if err != nil { http.Error(w, "Failed to create file", http.StatusInternalServerError) return } defer dst.Close() if _, err := io.Copy(dst, file); err != nil { http.Error(w, "Failed to save file", http.StatusInternalServerError) return } w.WriteHeader(http.StatusOK) w.Write([]byte("Upload success")) }
处理多个文件或同名多文件时用 r.MultipartForm.File
r.FormFile 只取第一个匹配 name 的文件;如果 HTML 中用了 multiple 或后端要支持多个同名 ,得直接访问 r.MultipartForm.File map——它按 name 键存储 []*multipart.FileHeader 切片。
-
r.MultipartForm仅在调用ParseMultipartForm后才有效 - 注意检查
r.MultipartForm.File["files"]是否为nil,空切片和nil都可能 - 每个
FileHeader都需单独调用r.Open获取读取句柄
files := r.MultipartForm.File["files"] if len(files) == 0 { http.Error(w, "No files uploaded", http.StatusBadRequest) return } for _, fhdr := range files { file, err := fhdr.Open() if err != nil { continue // 跳过单个失败项,不中断整体 } defer file.Close() dst, _ := os.Create("./uploads/" + fhdr.Filename) defer dst.Close() io.Copy(dst, file) }
避免 http: invalid byte in chunked body 错误
这个错误通常不是 Go 代码问题,而是客户端未正确构造 multipart 请求:比如手动拼接 boundary、漏传 Content-Type、或使用了不兼容的 HTTP 客户端(如某些旧版 curl 未加 -F)。服务端无法修复这类请求,但可以提前拦截。
- 检查请求头是否含
Content-Type: multipart/form-data; boundary=... - 若
r.MultipartForm == nil且r.Method == "POST",大概率是客户端发错了格式 - 不要试图用
io.ReadAll(r.Body)再手动解析——ParseMultipartForm已消费 Body,重复读会失败
生产环境必须加的防护点
文件上传是常见攻击入口,仅实现功能远远不够:
立即学习“go语言免费学习笔记(深入)”;
- 校验
header.Size,防止超大文件(比如限制 ≤100MB) - 检查
header.Header.Get("Content-Type"),但不可全信——需配合后缀白名单(如只允许.jpg,.pdf)和魔数检测 - 重命名文件名,避免路径遍历(如
../../etc/passwd)和执行风险(如.php) - 上传目录禁止执行权限,且不放在 Web root 下直出
- 考虑用
io.LimitReader包裹file,双重限制读取量
边界和安全细节容易被忽略,尤其是魔数检测和路径净化——这两步不加,光靠扩展名过滤基本等于没防。