Go中文件上传限制需在解析阶段介入,通过ParseMultipartForm设置maxMemory(内存阈值)和maxFormSize(总请求体上限)实现;超出maxFormSize直接返回400错误。
在 Go 中实现文件上传限制,关键在于解析 multipart 表单时主动校验,而不是等文件写入磁盘后再判断。Go 的 http.Request.ParseMultipartForm 默认会把整个文件读入内存或临时磁盘,若不加控制,大文件可能耗尽内存或填满磁盘。真正有效的限制需在读取阶段介入。
这是第一道防线。调用 r.ParseMultipartForm 前,必须显式指定内存阈值和总表单大小上限:
maxMemory:控制多少字节以内保留在内存(默认 32MB),超过则写入临时磁盘;设为 0 表示全部写磁盘,但无法阻止超大上传maxFormSize:限制整个 multipa
rt 请求体的总字节数(含文件+字段),单位是字节;超出会直接返回 http.ErrMissingFile 或 400 错误示例:
r.ParseMultipartForm(32 r.ParseMultipartForm(0) // 禁用内存缓冲 → 仍无总大小限制浏览器提交的 Content-Type 可被伪造,仅依赖表单中声明的类型不安全。应在读取文件流时,用前 512 字节检测真实类型:
part.Header.Get("Content-Type") 获取客户端声称的类型(参考用)io.LimitReader(part, 512) 读取开头字节,传给 http.DetectContentType
"image/jpeg", "application/pdf"),不匹配立即拒绝注意:不要用文件扩展名判断类型,扩展名完全不可信。
即使设置了 maxFormSize,它只限制整个请求体,而单个文件可能占绝大部分。更稳妥的方式是在读取每个 multipart.Part 时,用 io.TeeReader 或自定义 reader 实时累加已读字节数:
size := int64(0)
part:每次 n, err := part.Read(buf) 后执行 size += int64(n)
size > 10 * 1024 * 1024(如 10MB),立刻中断读取、清理资源、返回错误响应part.Size 字段——它来自 header,可被篡改,不可信http.Server.ReadTimeout 和 MaxHeaderBytes 防慢速攻击r.ParseMultipartForm 并指定 maxMemory(如 16MB)r.MultipartReader 获取每个 part,跳过非文件字段http.Error(w, "Invalid file", http.StatusBadRequest) 并关闭 part不复杂但容易忽略。核心是别让未经校验的数据流进你的处理逻辑。