必须先调用 ParseForm 才能读取表单值;r.FormValue("xxx") 返回空字符串的根本原因是未显式调用 r.ParseForm() 或 r.ParseMultipartForm(),而 HTTP 请求体仅可读取一次。
Go 的 http.Request 本身不自动解析表单,必须显式调用 r.ParseForm() 或 r.ParseMultipartForm() 才能访问 r.Form 和 r.PostForm。漏掉这一步,r.FormValue("xxx") 永远返回空字符串。
必须先调用 ParseForm 才能读取表单值
很多初学者直接写 r.FormValue("email") 却收不到数据,根本原因是没触发解析。HTTP 请求体只读取一次,错过就无法重试。
-
r.ParseForm()适用于普通application/x-www-form-urlencoded表单(最常见) -
r.ParseMultipartForm(maxMemory)必须在处理含文件上传的multipart/form-data时调用,且需指定内存阈值(如32 ) - 如果同时支持两种类型,建议统一用
r.ParseMultipartForm(32 —— 它对纯文本表单也兼容 - 调用后才能安全使用
r.FormValue("name")、r.PostFormValue("password")等方法
验证逻辑应与路由处理分离
把校验硬编码在 handler 里会导致难以复用、测试困难、错误提示耦合 HTML 渲染。推荐封装成独立函数,返回结构化错误。
type FormError struct {
Field string
Msg string
}
func ValidateLoginForm(r *http.Request) []FormError {
r.ParseMultipartForm(32 << 20)
email := r.FormValue("email")
password := r.FormValue("password")
var errs []FormError
if email == "" {
errs = append(errs, FormError{Field: "email", Msg: "邮箱不能为空"})
} else if !strings.Contains(email, "@") {
errs = append(errs, FormError{Field: "email", Msg: "邮箱格式不正确"})
}
if len(password) < 6 {
errs = append(errs, FormError{Field: "password", Msg: "密码至少6位"})
}
return errs
}
- 避免在验证函数里调用
http.Error或写响应 —— 交给 handler 决定如何呈现错误 - 字段名(
"email")要和前端严格一致,区分大小写 - 正则校验邮箱请用
net/mail.ParseAddress而非简单@判断,更可靠
CSRF 防护不能靠“隐藏字段”手动实现
仅在表单中加一个 并在后端比对,是无效防护 —— 攻击者可先 GET 表单拿到 token 再伪造 POST。
- 必须使用服务端生成、绑定用户 session、带过期时间的 token(如
gorilla/csrf库) - token 需通过 HTTP-only cookie + 请求头(如
X-CSRF-Token)或同源表单 hidden 字段双重传递 - 验证必须在
ParseForm之后、业务逻辑之前执行,失败立即返回 403 - 不要把 t
oken 存在 URL 或 localStorage 中,易被 XSS 泄露
oken 存在 URL 或 localStorage 中,易被 XSS 泄露表单接收的边界很窄,但验证和防护的深度容易被低估:解析时机、错误结构设计、CSRF 的 token 生命周期管理,三者任一出错,都会让看似完整的登录流程变成安全缺口。
