应使用 req.header.get("user-agent") 安全获取,避免直接访问 map;uap-go 需显式加载规则文件初始化;ua 字符串不可信,禁用于安全敏感场景。
怎么从 *http.Request 里安全取 User-Agent
Go 的 http.Request.Header 是大小写不敏感的 map,但直接用 req.Header.Get("User-Agent") 最稳妥——别用 req.Header["User-Agent"],后者可能返回空 slice 或 panic(如果 header 被修改过且底层是 nil map)。
常见错误:在中间件里用 req.Header["user-agent"] 或 req.Header["USER-AGENT"],结果偶发空值。HTTP/2 下某些代理还会把 header key 全转小写,靠拼写匹配不保险。
实操建议:
- 始终用
req.Header.Get("User-Agent"),它内部做了标准化处理 - 注意返回值可能是空字符串(比如 curl -H "User-Agent:"),要判空再解析
- 别在
req.ParseForm()之后才取,虽然一般不影响,但某些恶意请求可能触发 header 重写逻辑
用 uap-go 做设备识别时的初始化陷阱
uap-go 是目前最常用的 Go UA 解析库,但它默认不加载解析规则,直接 new parser 会 panic 或返回空结构体。
立即学习“go语言免费学习笔记(深入)”;
典型错误现象:parser.Parse("") 返回全零值,device.Family 是空,但没报错,容易误以为 UA 格式异常。
实操建议:
- 必须显式调用
uap.New(uap.WithYamlBytes(yamlBytes))或uap.New(uap.WithYamlFile("regexes.yaml")) - 官方 yaml 文件得从 uap-core 下载,别用过期的 fork 版本——2023 年后很多安卓 WebView 和新 iOS 版本识别依赖更新后的规则
- 初始化一次就够了,全局复用 parser 实例;它不是 goroutine-safe 的,但实例本身是只读的,可并发调用
Parse()
User-Agent 字符串里哪些字段真能信?
浏览器 UA 是最不可信的字符串之一:curl 可伪造、前端 JS 可篡改、CDN 可覆盖、iOS WKWebView 甚至会省略系统版本号。硬依赖 os.Version 或 browser.Major 做业务分流,线上大概率出问题。
使用场景提醒:
- 做统计分析(如“iOS 占比”)可以宽松处理,空值归入 “unknown”
- 做功能降级(如禁用 WebAssembly)必须结合
Acceptheader、JS 特性检测或服务端能力协商 -
Mobile字段只是启发式判断,部分桌面版 Chrome 也带Mob,部分微信内置浏览器不带Mobile但确实是手机 - 永远别用 UA 判断登录态、权限或支付环境——这是安全红线
轻量替代方案:不用第三方库也能粗筛设备类型
如果只要区分移动端 / 桌面端 / 爬虫,没必要引入 uap-go。正则够用,而且更快、无依赖、不占内存。
性能影响:完整 UA 解析平均耗时 0.1–0.3ms,而单条正则 regexp.MustCompile(`(?i)android|iphone|ipad|mobile`) 是 50ns 级别。
实操建议:
- 爬虫识别优先看
req.Header.Get("X-Robots-Tag")和User-Agent组合,单独靠 UA 容易误杀 BingPreview - 移动端判断用两个正则更稳:
(?i)android|iphone|ipad|windows phone|mobile+ 排除(?i)tablet|tv|watch(避免把 iPad 当手机) - 注意:微信内置浏览器 UA 含
MicroMessenger,但不含Mobile,得单独加一条匹配
UA 分析真正的复杂点不在代码怎么写,而在“什么时候不该用它”。比如做灰度发布,用 UA 分流看似简单,但用户切个浏览器就跨组了;做防刷,UA 更是一戳就破。该上设备指纹或行为特征的地方,别省那几行正则。
