使用Golang实现文件上传需解析multipart表单,通过r.ParseMultipartForm限制内存防OOM,获取文件句柄并保存至指定目录,同时校验文件类型与大小确保安全。
在Web开发中,文件上传与下载是常见需求。Golang凭借其简洁的语法和高效的并发处理能力,非常适合实现这类功能。本文将详细介绍如何使用Golang实现安全、高效的文件上传与下载服务。
文件上传实现
要实现文件上传,核心是解析HTTP请求中的multipart表单数据。Go标准库net/http和mime/multipart提供了完整支持。
关键步骤:
- 设置HTML表单enctype="multipart/form-data",确保文件能正确提交
- 在Go服务端使用r.ParseMultipartForm(maxMemory)解析请求,限制内存使用防止OOM
- 通过r.MultipartForm.File["file"]获取文件句柄
- 使用file.Open()打开临时文件,再用io.Copy(dst, src)保存到服务器指定目录
- 校验文件类型、大小,避免恶意上传
示例代码片段:
立即学习“go语言免费学习笔记(深入)”;
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "仅支持POST请求", http.StatusMethodNotAllowed)
return
}
r.ParseMultipartForm(32 file, handler, err := r.FormFile("uploadFile")
if err != nil {
http.Error(w, err.Error(), http.StatusBadRequest)
return
}
defer file.Close()
dst, err := os.Create("./uploads/" + handler.Filename)
if err != nil {
http.Error(w, err.Error(), http.StatusInternalServerError)
return
}
defer dst.Close()
io.Copy(dst, file)
fmt.Fprintf(w, "文件 %s 上传成功", handler.Filename)
}
文件下载实现
文件下载的关键在于正确设置HTTP响应头,让浏览器识别为文件下载而非直接显示内容。
实现要点:
- 使用os.Open(filename)打开目标文件
- 设置响应头Content-Disposition: attachment; filename="xxx",触发下载行为
- 设置Content-Type: application/octet-stream或根据文件类型动态设置
- 使用http.ServeFile(w, r, filepath)简化流程,自动处理Range请求支持断点续传
示例代码:
func downloadHandler(w http.ResponseWriter, r *http.Request) {filename := r.URL.Query().Get("file")
filepath := "./uploads/" + filename
if _, err := os.Stat(filepath); os.IsNotExist(err) {
http.NotFound(w, r)
return
}
w.Header().Set("Content-Disposition", "attachment; filename="+filename)
w.Header().Set("Content-Type", "application/octet-stream")
http.ServeFile(w, r, filepath)
}
安全性与优化建议
在生产环境中,需考虑更多细节以保障服务稳定与安全。
- 对上传文件重命名,避免路径穿越攻击(如../etc/passwd)
- 检查文件扩展名或魔数(magic number),防止执行恶意脚本
- 限制上传大小,防止DDoS
- 使用UUID或时间戳生成唯一文件名,避免冲突
- 配合Nginx等反向代理处理静态文件下载,减轻Go服务压力
- 添加身份验证中间件,控制访问权限
