Golang限制请求体大小设置方法

Go HTTP Server 默认不限制请求体大小，可能导致内存耗尽、服务变慢甚至崩溃，而真正有效的防护方式是在 handler 开头立即使用 `http.MaxBytesReader` 包装 `req.Body`，在读取阶段精准拦截超限请求——既轻量可靠，又避免 Body 提前加载到内存的风险，是保障服务稳定性的关键实践。

Go HTTP Server 默认不限制 Body 大小

Go 的 http.Server 默认对请求体（Body）完全不设限，客户端发个 2GB 的 POST 请求，服务端会照单全收——直到内存爆掉或超时。这不是 bug，是设计选择：Go 希望你显式决定边界。

常见错误现象：panic: runtime: out of memory、服务响应变慢、GC 频繁、http: TLS handshake error 伴随大量连接堆积（其实是大 Body 占着连接没释放）。

真正起作用的是中间层控制，不是路由或 handler 里临时读取判断——等进到 handler，Body 可能已经部分或全部读进内存了。

用 http.MaxBytesReader 包裹 Request.Body

这是最轻量、最推荐的方式，它不改变原有逻辑，只在读取时做字节计数拦截。关键点：必须在 handler 开头、任何 Read 或 Parse 操作前就包装。

• http.MaxBytesReader 第二个参数是原始 req.Body，第三个参数是最大允许字节数（比如 10 表示 10MB）
• 如果超出，后续 Read 会返回 http.ErrBodyTooLarge，但不会自动返回 413；你需要手动检查并写响应
• 它不影响 req.ParseForm()、req.ParseMultipartForm() 等，这些函数内部也会走 Body.Read，所以自然受控

func myHandler(w http.ResponseWriter, r *http.Request) {
    r.Body = http.MaxBytesReader(w, r.Body, 10<<20) // 10MB
    if err := r.ParseForm(); err != nil {
        if errors.Is(err, http.ErrBodyTooLarge) {
            http.Error(w, "Request Entity Too Large", http.StatusRequestEntityTooLarge)
            return
        }
        http.Error(w, err.Error(), http.StatusBadRequest)
        return
    }
    // ...继续处理
}

gin / echo 等框架的 BodySizeLimit 配置本质也是 MaxBytesReader

比如 gin 的 gin.SetMode(gin.ReleaseMode) 不影响大小限制，真正起作用的是 gin.DefaultWriter 和底层封装。使用框架时别只看文档说“支持 limit”，要确认它是否在 Body 被消费前就完成包装。

• gin v1.9+ 提供 gin.SetMode(gin.DebugMode) 不影响限制，但调试日志可能掩盖真实错误
• echo 的 e.MaxRequestBodySize = 10 * 1024 * 1024 是直接调用 http.MaxBytesReader，安全
• 如果你用了自定义中间件（如 JWT 验证），确保它不提前调用 req.Body.Read 或 io.ReadAll，否则 MaxBytesReader 失效

multipart/form-data 场景下还要单独限制文件上传

http.MaxBytesReader 对整个 Body 计数，但 multipart 请求里，表单字段和文件混在一起，光靠总大小不够——攻击者可以发一个 1KB 表单 + 9.99MB 文件，绕过“仅限制总大小”的逻辑。

• 必须配合 req.ParseMultipartForm(maxMemory) 的 maxMemory 参数（比如 32 << 20），它控制内存中缓存的上限，超过部分写临时文件
• 更稳妥的做法：用 form, err := r.MultipartReader() 手动解析，并对每个 part 的 Header.Get("Content-Length") 做校验（注意：该值可被伪造，仅作参考）
• 生产环境建议搭配反向代理（如 Nginx）做第一道限制：client_max_body_size 10M;，避免大流量直接打到 Go 进程

真正容易被忽略的是：限制必须在 Body 被任何地方读取之前生效；一旦有中间件或库偷偷调用了 Read 或 io.Copy，你的 MaxBytesReader 就成了摆设。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于Golang的相关知识，也可关注golang学习网公众号。