Go中Cookie管理需用http.SetCookie设置和r.Cookie()获取,自动编码/解码、支持HttpOnly/Secure/SameSite等安全属性,并注意Domain限制与删除机制。
在 Go 的 net/http 包中,Cookie 管理主要通过 http.SetCookie 设置和 r.Cookies() 或 r.Cookie(name) 获取实现。核心在于理解 Cookie 是 HTTP 响应头(Set-Cookie)和请求头(Cookie)中的文本字段,Go 提供了结构化封装来安全操作。
不能直接拼接字符串写入响应头,必须用 http.SetCookie —— 它会自动编码值、生成合法的 Set-Cookie 头,并处理特殊字符、过期时间格式等细节。
http.Cookie 结构体实例,至少指定 Name 和 Value
Value 会自动被 URL 编码(如空格变 %20),无需手动调用 url.QueryEscape
Expires(绝对时间)或 MaxAge(秒数)控制有效期;两者都未设则为会话 Cookie(浏览器关闭即失效)HttpOnly: true(防 XSS 读取)、Secure: true(仅 HTTPS 传输)、SameSite(防 CSRF)示例:
cookie := &http.Cookie{
Name: "session_id",
Value: "abc123xyz",
Path: "/",
Domain: "example.com", // 注意:localhost 不支持 Domain,留空或设为 ""
MaxAge: 3600,
HttpOnly: true,
Secure: true, // 开发时若无 HTTPS,可临时设 false
SameSite: http.SameSiteLaxMode,
}
http.SetCookie(w, cookie)
客户端发起请求时,浏览器自动在 Cookie 请求头中携带匹配的 Cookie 字符串(如 session_id=abc123xyz; theme=dark)。Go 自动解析并提供两种常用方式:
r.Cookie("name"):返回单个 *http.Cookie,如果不存在则返回 nil, ErrNoCookie
r.Cookies():返回所有 Cookie 的 []*http.Cookie 切片(按请求头中出现顺序)使用示例:
cookie, err := r.Cookie("session_id")
if err == http.ErrNoCookie {
// Cookie 未携带,可能需跳转登录
http.Redirect(w, r, "/login", http.StatusFound)
return
}
if err != nil {
http.Error(w, "读取 Cookie 失败", http.StatusBadRequest)
return
}
fmt.Println("值:", cookie.Value) // 自动 URL 解码,无需手动处理
Cookie 看似简单,但误用易引发安全问题或行为异常:
Domain 时,本地开发用 localhost 无法设置带 Domain 的 Cookie(浏览器策略限制),建议开发时留空r.Cookie(name) 返回第一个匹配的,不保证是你要的那个Name、Path、Domain 参数重新调用 http.SetCookie 才能覆盖MaxAge: 0 或 Expires: time.Unix(0, 0),并确保 Path 和 Domain 与原设置一致若需让 Cookie 自包含且防篡改(如“记住我”功能),不应自己实现加解密,而应使用成熟库如 gorilla/securecookie 或 golang.org/x/crypto/nacl/secretbox。例如:
securecookie 对值签名 + 可选加密,再塞进普通 Cookie基本上就这些。Cookie 管理本身不复杂,但细节决定是否健壮和安全。用对 http.SetCookie 和 r.Cookie,再守住安全边界,就够日常用了。