如何在Golang中上传文件到服务器_Golang net/http 文件上传方法

使用 http.HandleFunc 处理 multipart/form-data 上传需先调用 r.ParseMultipartForm(32

用 http.HandleFunc 接收 multipart/form-data 文件上传

Go 标准库 的 net/http 原生支持 multipart/form-data，不需要额外依赖。关键在于调用 r.ParseMultipartForm（或 r.ParseForm）触发解析，否则 r.MultipartForm 为空，r.FormFile 会返回 http.ErrMissingFile。

• 必须设置 MaxMemory，否则大文件会直接写临时磁盘，且不设上限易被恶意上传打满磁盘
• r.FormFile("file") 返回的是 *multipart.FileHeader，不是文件内容本身
• 前端 的 name 属性值必须和 FormFile 第一个参数一致

func uploadHandler(w http.ResponseWriter, r *http.Request) {if r.Method != "POST" {         http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)         return     }      // 必须先解析，且限制内存使用（例如 32MB）err := r.ParseMultipartForm(32 << 20)     if err != nil {http.Error(w, "Unable to parse form", http.StatusBadRequest)         return     }      file, header, err := r.FormFile("file")     if err != nil {http.Error(w, "No file uploaded or parsing failed", http.StatusBadRequest)         return     }     defer file.Close()      // 保存到本地（示例路径）dst, err := os.Create("./uploads/" + header.Filename)     if err != nil {http.Error(w, "Failed to create file", http.StatusInternalServerError)         return     }     defer dst.Close()      if _, err := io.Copy(dst, file); err != nil {http.Error(w, "Failed to save file", http.StatusInternalServerError)         return     }      w.WriteHeader(http.StatusOK)     w.Write([]byte("Upload success")) }

处理多个文件或同名多文件时用 r.MultipartForm.File

r.FormFile 只取第一个匹配 name 的文件；如果 HTML 中用了 multiple 或后端要支持多个同名 ，得直接访问 r.MultipartForm.File map——它按 name 键存储 []*multipart.FileHeader 切片。

• r.MultipartForm 仅在调用 ParseMultipartForm 后才有效
• 注意检查 r.MultipartForm.File["files"] 是否为 nil，空切片和 nil 都可能
• 每个 FileHeader 都需单独调用 r.Open 获取读取句柄

files := r.MultipartForm.File["files"] if len(files) == 0 {http.Error(w, "No files uploaded", http.StatusBadRequest)     return }  for _, fhdr := range files {file, err := fhdr.Open()     if err != nil {continue // 跳过单个失败项，不中断整体}     defer file.Close()      dst, _ := os.Create("./uploads/" + fhdr.Filename)     defer dst.Close()     io.Copy(dst, file) }

避免 http: invalid byte in chunked body 错误

这个错误通常不是 Go 代码问题，而是客户端未正确构造 multipart 请求：比如手动拼接 boundary、漏传 Content-Type、或使用了不兼容的 HTTP 客户端（如某些旧版 curl 未加 -F）。服务端无法修复这类请求，但可以提前拦截。

• 检查请求头是否含 Content-Type: multipart/form-data; boundary=……
• 若 r.MultipartForm == nil 且 r.Method == "POST"，大概率是客户端发错了格式
• 不要试图用 io.ReadAll(r.Body) 再手动解析——ParseMultipartForm 已消费 Body，重复读会失败

生产环境必须加的防护点

文件上传是常见攻击入口，仅实现功能远远不够：

立即学习“go 语言免费学习笔记（深入）”；

• 校验 header.Size，防止超大文件（比如限制 ≤100MB）
• 检查 header.Header.Get("Content-Type")，但不可全信——需配合后缀白名单（如只允许 .jpg, .pdf）和魔数检测
• 重命名文件名，避免路径遍历（如 ../../etc/passwd）和执行风险（如 .php）
• 上传目录禁止执行权限，且不放在 Web root 下直出
• 考虑用 io.LimitReader 包裹 file，双重限制读取量

边界和安全细节容易被忽略，尤其是魔数检测和路径净化——这两步不加，光靠扩展名过滤基本等于没防。