Go语言通过net/http包提供Cookie支持,可使用req.Cookies()或req.Cookie()读取客户端Cookie;通过http.SetCookie设置Cookie,需配置Name、Value、Path、MaxAge、HttpOnly、Secure、SameSite等字段以保障安全;删除Cookie通过设置MaxAge为-1实现;客户端可使用cookiejar自动管理Cookie,实现会话保持。
在Go语言中处理HTTP请求中的Cookie是一项常见需求,尤其是在实现登录状态保持、用户偏好记录等场景时。Golang的标准库 net/http 提供了完整的Cookie支持,通过 Request 和 Response 中的 Cookie 相关方法,可以轻松实现Cookie的读取、设置与管理。
读取客户端发送的Cookie
当客户端发起HTTP请求时,携带的Cookie会包含在请求头中。在服务端可以通过 *http.Request 的方法获取这些信息。
有两种方式读取Cookie:
- 使用 req.Cookies():返回当前请求中所有Cookie组成的切片。
- 使用 req.Cookie(name):根据名称获取单个Cookie,若不存在则返回错误。
func handler(w http.ResponseWriter, r *http.Request) {
cookies := r.Cookies()
for _, cookie := range cookies {
fmt.Printf("Name: %s, Value: %s\n", cookie.Name, cookie.Value)
}
// 获取特定Cookie
userCookie, err := r.Cookie("username")
if err != nil {
if err == http.ErrNoCookie {
fmt.Println("未找到 username Cookie")
}
return
}
fmt.Println("用户名:", userCookie.Value)
}
向客户端设置Cookie
服务端通过在响应头中写入 Set-Cookie 字段来设置Cookie。Golang中可使用 http.SetCookie 函数完成这一操作。
立即学习“go语言免费学习笔记(深入)”;
需要构建一个 http.Cookie 结构体,常用字段包括:
- Name / Value:键值对。
- Path:指定Cookie作用路径,如 "/" 表示全站有效。
- Domain:指定域名,子域名共享时有用。
- Expires / MaxAge:控制过期时间。MaxAge 推荐用于设置相对过期(单位为秒)。
- Secure:仅在HTTPS下传输。
- HttpOnly:防止XSS攻击,JS无法访问。
- SameSite:防范CSRF,可设为 http.SameSiteStrictMode 或 http.SameSiteLaxMode。
func setCookieHandler(w http.ResponseWriter, r *http.Request) {
c := &http.Cookie{
Name: "session_id",
Value: "1234567890abcdef",
Path: "/",
MaxAge: 3600,
HttpOnly: true,
Secure: true,
SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, c)
fmt.Fprintln(w, "Cookie已设置")
}
删除Cookie的正确方式
HTTP协议没有“删除”动作,实际是通过设置一个已过期的Cookie来覆盖原有值,使浏览器自动清除。
推荐做法是将 MaxAge 设为 -1 或 Expires 设为过去的时间。
示例代码:func deleteCookieHandler(w http.ResponseWriter, r *http.Request) {
expiredCookie := &http.Cookie{
Name: "session_id",
Value: "",
Path: "/",
MaxAge: -1, // 标记为立即过期
}
http.SetCookie(w, expiredCookie)
fmt.Fprintln(w, "Cookie已删除")
}
客户端请求中携带Cookie
在使用 http.Client 发起请求时,如果需要自动管理Cookie(例如模拟登录),可以配合 http.CookieJar 实现自动存储与发送。
Golang标准库提供了 net/http/cookiejar 包,支持自动维护Cookie状态。
示例代码:jar, _ := cookiejar.New(nil)
client := &http.Client{
Jar: jar,
}
// 第一次请求:登录并保存服务端设置的Cookie
resp, _ := client.Get("https://api.example.com/login")
// 此时Cookie已被jar自动保存
// 后续请求会自动带上之前的Cookie
resp, _ = client.Get("https://api.example.com/profile")
基本上就这些。Golang对Cookie的支持简洁而强大,合理使用能有效提升Web应用的交互体验和安全性。注意安全选项如 HttpOnly、Secure 和 SameSite 的配置,避免常见安全漏洞。
