Go语言通过net/http包支持HTTP Cookie的设置、读取与删除,需注意Path、Secure、HttpOnly、SameSite等安全配置,并推荐使用gorilla/securecookie等库签名加密敏感数据。
Go语言通过net/http包提供了对HTTP Cookie的完整支持,包括设置、读取、解析和安全控制。核心在于http.Cookie结构体和http.SetCookie、r.Cookie等方法,操作简洁但需注意细节(如路径、域名、Secure/HttpOnly标志)。
使用http.SetCookie向响应头写入Cookie。需构造http.Cookie结构体,关键字段包括Name、Value、Path、MaxAge、Secure、HttpOnly等。
tpOnly、SameSite等安全配置,并推荐使用gorilla/securecookie等库签名加密敏感数据。MaxAge :不设过期时间(会话级Cookie,浏览器关闭即失效)MaxAge = 0:立即删除(浏览器收到后清除该Cookie)Secure = true:仅通过HTTPS传输(生产环境必须开启)HttpOnly = true:禁止JS访问,防XSS窃取示例:
cookie := &http.Cookie{
Name: "session_id",
Value: "abc123xyz",
Path: "/",
MaxAge: 3600, // 1小时
HttpOnly: true,
Secure: true, // 开发时若无HTTPS可暂设false,上线务必true
SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, cookie)
用r.Cookie(name)获取单个Cookie,返回*http.Cookie和error;用r.Cookies()获取全部Cookie切片。
r.Cookie()返回http.ErrNoCookie错误,应显式判断Value是字符串,如需结构化数据(如用户ID、权限),建议先JSON序列化再存,读取后反序列化示例:
cookie, err := r.Cookie("session_id")
if err == http.ErrNoCookie {
http.Error(w, "未登录", http.StatusUnauthorized)
return
}
if err != nil {
http.Error(w, "读取Cookie失败", http.StatusInternalServerError)
return
}
fmt.Println("收到 session_id:", cookie.Value)
本质是下发一个同名、空值、MaxAge=0 的Cookie,让浏览器覆盖原值并立即丢弃。
Name、Path、Domain与原Cookie完全一致,否则无法清除Path(如"/"),避免因路径不匹配导致清除失败Secure或SameSite,删除时也应保持一致示例:
delCookie := &http.Cookie{
Name: "session_id",
Value: "",
Path: "/",
MaxAge: 0,
Secure: true,
HttpOnly: true,
}
http.SetCookie(w, delCookie)
标准Cookie明文传输,敏感信息(如用户ID、角色)不可直接存。推荐使用gorilla/securecookie或golang.org/x/crypto/nacl/secretbox等库做签名/加密。
简单签名示例(需引入github.com/gorilla/securecookie):
var s = securecookie.New(
securecookie.GenerateRandomKey(32), // auth key
securecookie.GenerateRandomKey(32), // encrypt key
)
// 编码
encoded, err := s.Encode("session", map[string]interface{}{"uid": 123, "exp": time.Now().Add(time.Hour).Unix()})
// 解码
var value map[string]interface{}
err := s.Decode("session", encoded, &value)
基本上就这些。Cookie操作本身不复杂,但安全细节容易忽略——路径匹配、HTTPS强制、HttpOnly、SameSite策略、服务端校验缺一不可。