http.FileServer 直接暴露根目录存在路径遍历漏洞,如访问 /..%2f/etc/passwd 可读取系统敏感文件;需用 http.StripPrefix 限定路径范围,并避免裸传绝对路径。
为什么 http.FileServer 直接暴露根目录会出问题
直接用 http.FileServer(http.Dir("/var/www")) 启动服务,浏览器访问 /..%2f/etc/passwd 可能读取到系统敏感文件——这是路径遍历漏洞。Go 的 http.FileServer 默认不做路径规范化校验,http.Dir 仅做基础映射,不拦截恶意编码路径。
正确做法是用 http.StripPrefix 配合封装后的 http.Handler,确保所有请求路径被强制限定在目标目录内:
fs := http.FileServer(http.Dir("./static"))
http.Handle("/static/", http.StripPrefix("/static/", fs))
注意两点:StripPrefix 的路径必须以 / 结尾;FileServer 的目录路径不能是绝对路径裸传(尤其在容器或非 root 用户下),建议用 filepath.Abs 显式解析后再传入。
如何让 CSS/JS 修改后不被浏览器缓存
默认情况下,http.FileServer 对静态文件返回的 Cache-Control: public, max-age=3600,导致开发时改了 JS 却要硬刷新。不能靠前端加时间戳 hack,应在服务端控制响应头。
立即学习“go语言免费学习笔记(深入)”;
需要包装原始 http.FileSystem,在 Open 后注入自定义 Header:
- 开发环境:设置
Cache-Control: no-cache或max-age=0 - 生产环境:保留默认策略,或按扩展名区分(如
.js加哈希后缀 + 长缓存) - 避免全局禁用 ETag —— 它对协商缓存仍有价值
简单实现可基于 http.FileServer + 中间件函数,无需重写整个 FileSystem 接口。
如何支持 SPA 的 History 模式(如 React/Vue Router)
当用户直接访问 /dashboard/users 这类前端路由时,Go 后端若没匹配到对应静态文件,会返回 404,而不是把请求 fallback 到 index.html。
解决方案不是用第三方库,而是手动判断:先尝试走 FileServer,若返回 404 且路径不带扩展名(即疑似前端路由),再返回 index.html:
func spaHandler(staticDir, indexPath string) http.Handler {
fs := http.FileServer(http.Dir(staticDir))
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
_, err := os.Stat(staticDir + r.URL.Path)
if os.IsNotExist(err) && !strings.Contains(r.URL.Path, ".") {
http.ServeFile(w, r, staticDir+indexPath)
return
}
fs.ServeHTTP(w, r)
})
}
关键点:os.Stat 必须拼接完整路径;strings.Contains(r.URL.Path, ".") 是快速过滤资源文件的轻量判断,不依赖 MIME 类型;indexPath 建议设为 "/index.html",不要漏掉开头的 /。
要不要用 embed.FS 打包静态文件
Go 1.16+ 的 embed 确实能将前端资源编译进二进制,省去部署时同步静态文件的麻烦。但要注意:它不支持运行时热更新、无法用 CDN 分发、调试困难,且每次修改都要重新编译。
适用场景很明确:
- 内部工具、CLI 附带 Web UI、嵌入式管理页等“发布即冻结”的场景
- CI/CD 流程中已固化构建产物,且前端资源极少变动
若项目需频繁迭代前端、或依赖外部 CDN 加速、或需灰度发布不同版本的 JS/CSS,则仍应保持静态文件外置,用 Nginx 或 CDN 托管更合理。Go 本身只负责 API 和兜底路由,别让它承担本不属于它的分发职责。
