Go实现HTTP代理服务器教程

本文深入剖析了 Go 语言中使用 `httputil.ReverseProxy` 构建生产级 HTTP 反向代理服务器的关键陷阱与最佳实践：从修复默认丢弃 Host 和敏感请求头导致的路由失败，到手动重写 Director 和 ModifyResponse 精确控制转发行为；从支持 WebSocket 协议升级、优化高并发下的连接复用与超时配置，到安全透传真实客户端 IP 的可信校验策略——每一步都直击实际部署中的“静默故障”根源，揭示 header 流转链路上极易被忽视的信任边界与清洗责任，帮你避开看似简单实则深坑密布的代理实现雷区。

为什么直接用 httputil.NewSingleHostReverseProxy 会丢请求头

因为默认情况下，httputil.ReverseProxy 会过滤掉部分敏感请求头（比如 Connection、Keep-Alive、Proxy-Authenticate 等），还会把 Host 头替换成后端地址的 Host，导致后端服务收不到原始 Host —— 这在多租户或泛域名场景下直接 404 或路由错乱。

实操建议：

• 必须重写 Director 函数，手动保留原始 Host：

  proxy.Director = func(req *http.Request) {
      req.URL.Scheme = "http"
      req.URL.Host = "backend.example.com"
      req.Host = req.Header.Get("Host") // 关键：恢复原始 Host
  }

• 用 ModifyResponse 清除响应头里的 Transfer-Encoding: chunked（某些客户端不兼容）
• 禁用默认 header 过滤：覆盖 FlushInterval 并显式设置 Transport 的 Proxy 字段为 http.ProxyFromEnvironment，避免代理链嵌套污染

如何让 ReverseProxy 正确转发 WebSocket 请求

原生 ReverseProxy 不处理 Upgrade 协议切换，遇到 Connection: upgrade + Upgrade: websocket 会直接返回 400 或 502。

实操建议：

• 在 handler 中提前拦截 WebSocket 升级请求：

  if strings.ToLower(r.Header.Get("Connection")) == "upgrade" &&
     strings.ToLower(r.Header.Get("Upgrade")) == "websocket" {
      proxy.ServeHTTP(w, r)
      return
  }

• 确保后端响应也带 Connection: upgrade 和 Upgrade: websocket，否则浏览器会静默失败
• 不要在 Director 里修改 req.URL.Scheme 为 https 后又连 HTTP 后端，协议不匹配会导致握手失败

为什么并发高时出现 i/o timeout 或连接被复用失败

ReverseProxy 默认复用底层 http.Transport，但它的 MaxIdleConns 和 MaxIdleConnsPerHost 默认是 100，面对突发流量容易耗尽连接，触发超时或 net/http: request canceled。

实操建议：

• 显式配置 Transport：

  proxy.Transport = &http.Transport{
      MaxIdleConns:        200,
      MaxIdleConnsPerHost: 200,
      IdleConnTimeout:     30 * time.Second,
      TLSHandshakeTimeout: 10 * time.Second,
  }

• 如果后端是 HTTPS，记得设置 ForceAttemptHTTP2: true，否则 HTTP/2 连接不会复用
• 避免在 Director 中做耗时操作（如 DNS 查询、DB 查询），它在每次请求路径上同步执行，会卡住整个 goroutine

如何安全地透传客户端真实 IP 而不被伪造

只靠 X-Forwarded-For 是危险的——攻击者可以直接构造该 header。你需要结合 RemoteAddr 和可信代理列表做校验。

实操建议：

• 记录时优先取 X-Real-IP（Nginx 设置的）或 X-Forwarded-For 最左非私有 IP：

  clientIP := r.RemoteAddr
  if ip := r.Header.Get("X-Real-IP"); ip != "" {
      clientIP = ip
  } else if xff := r.Header.Get("X-Forwarded-For"); xff != "" {
      parts := strings.Split(xff, ",")
      for _, p := range parts {
          p = strings.TrimSpace(p)
          if !strings.HasPrefix(p, "10.") && !strings.HasPrefix(p, "192.168.") {
              clientIP = p
              break
          }
      }
  }

• 在反向代理前加一层网关（如 Nginx），用 set_real_ip_from 明确声明可信上游，再用 real_ip_header X-Forwarded-For，Go 层就只需信它
• 永远别把 X-Forwarded-For 直接拼进日志或 SQL 查询，防止注入

真正难的不是写通代理，而是搞清每一层 header 谁改过、谁信任、谁丢弃——漏掉一个中间件的 header 清洗规则，整条链路就可能静默降级。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Go实现HTTP代理服务器教程》文章吧，也可关注golang学习网公众号了解相关技术文章。