如何在 Go Web 服务中安全地限制 HTTP 请求体大小

go 的 `net/http` 默认限制请求体为 10mb，但为防范恶意上传或资源耗尽攻击，建议显式设置更严格的请求体大小上限，可通过 `http.maxbytesreader` 或 `http.maxbyteshandler` 实现，并配合超时与头部限制增强安全性。

在 Go Web 开发中，限制 HTTP 请求体（尤其是表单和文件上传）大小是一项关键的安全实践。虽然 net/http 默认已将请求体上限设为 10MB（见 src/net/http/request.go），但该默认值对生产环境而言往往过高——攻击者可能通过发送超大请求体（如伪造的超长 POST 数据）持续占用连接、内存或 goroutine，导致服务拒绝（DoS）。因此，主动、精细地控制请求体大小是必要且推荐的安全加固措施。

✅ 推荐做法：使用 http.MaxBytesHandler 全局限流

最简洁、可靠的方式是将整个 HTTP 处理链路封装在 http.MaxBytesHandler 中。它会在请求进入业务逻辑前就拦截并拒绝超限请求，无需手动干预 r.Body，也避免了在 ParseForm() 等阶段才触发检查的风险：

package main  import ("log"     "net/http"     "github.com/gorilla/mux" // 示例路由库，亦可替换为 http.ServeMux)  func main() {     r := mux.NewRouter()     r.HandleFunc("/upload", uploadHandler).Methods("POST")      // 全局限制：所有请求体不得超过 4MB     handler := http.MaxBytesHandler(r, 4*1024*1024)      log.Println("Server starting on :8080")     log.Fatal(http.ListenAndServe(":8080", handler)) }

当请求体超出设定阈值时，MaxBytesHandler 会立即返回 HTTP 413 Payload Too Large 响应，并 自动关闭底层 TCP 连接，无需额外处理。这比在 handler 内部手动包装 r.Body 更早介入、更少开销。

⚠️ 补充防护：超时与头部限制不可忽视

仅限制请求体大小并不足够。还需配置 http.Server 的以下字段，构建纵深防御：

• ReadTimeout：防止慢速读取攻击（如 Slowloris）；
• WriteTimeout：避免响应阻塞影响并发能力；
• MaxHeaderBytes：限制请求头大小，防止头部膨胀攻击。

srv := &http.Server{Addr:           ":8080",     Handler:        http.MaxBytesHandler(r, 4*1024*1024),     ReadTimeout:    5 * time.Second,     WriteTimeout:   10 * time.Second,     MaxHeaderBytes: 1 <<20, // 1MB} log.Fatal(srv.ListenAndServe())

❗ 注意事项与常见误区

• 不要仅依赖 r.ParseForm() 后的错误判断：ParseForm 本身不校验整体请求体大小，它只解析已读取的数据；若未提前限流，恶意客户端仍可发送 GB 级数据，导致内存暴涨或 OOM。
• http.MaxBytesReader 适用于细粒度控制 ：若需对特定 路由（如仅 /admin/upload）单独设限，可在 handler 内使用：

  func uploadHandler(w http.ResponseWriter, r *http.Request) {r.Body = http.MaxBytesReader(w, r.Body, 8*1024*1024) // 8MB     if err := r.ParseForm(); err != nil {         http.Error(w, "Request too large", http.StatusRequestEntityTooLarge)         return     }     // 正常处理…… }

  此时若超限，ParseForm() 将返回 http.ErrBodyReadAfterClose 或 io.EOF 类似错误，MaxBytesReader 内部已标记响应状态，handler 返回后连接将被服务器自动关闭。

• Content-Length 缺失？无需担心 ：MaxBytesReader 是流式检测，即使 header 中未提供 Content-Length（如分块传输），它也会在读取过程中实时累计 字节 数，一旦超限立即终止读取并关闭连接。

总之，将 http.MaxBytesHandler 作为第一道防线，辅以合理的超时与头部限制，是 Go Web 服务抵御资源耗尽类攻击的标准实践。既保障安全性，又保持代码简洁与可维护性。