限制Go 中的表單大小以確保安全
使用Go 的http 包處理POST 表單請求時,請求正文大小的預設限制為10MB。雖然這對許多情況來說可能已經足夠,但在某些情況下,建議減少此限制以減輕安全風險。
要進一步限製表單大小,建議的方法是使用 http.MaxBytesReader 函數。此函數會建立一個新的讀取器,限制可以從請求正文讀取的最大位元組數。例如:
r.Body = http.MaxBytesReader(w, r.Body, MaxFileSize)
err := r.ParseForm()
if err != nil {
// Redirect to error page
return
}透過使用http.MaxBytesReader包裝請求體,如果檔案大小超過指定的限制MaxFileSize,請求解析將終止。但是,需要注意的是,設定錯誤標誌不會自動關閉連線。建議的方法是使用 Server.ReadTimeout 設定請求解析的時間限制。
如果您處理多個處理程序並希望全域實現此限制,您可以使用中間件函數,例如:
type maxBytesHandler struct {
h http.Handler
n int64
}
func (h *maxBytesHandler) ServeHTTP(w http.ResponseWriter, r *http.Request) {
r.Body = http.MaxBytesReader(w, r.Body, h.n)
h.h.ServeHTTP(w, r)
}然後可以將該中間件包裝在根處理程序周圍,確保所有請求都受到大小限制。
透過實作這些技術,您可以有效地限制 POST 表單請求的大小,防止惡意行為者利用過度資源消耗或拒絕服務攻擊。
以上是如何安全地限制 Go 中的 POST 表單大小以防止安全漏洞?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
