如何使用Golang处理文件下载_使用ResponseWriter输出文件流

Go文件下载需设Content-Type和Content-Disposition头，用io.Copy流式传输，校验文件名防路径遍历，并用filename*=UTF-8''支持中文名。

在 Go 中处理文件下载，核心是通过 http.ResponseWriter 正确设置响应头并写入文件内容（即输出文件流）。关键不是“保存文件”，而是让浏览器识别为可下载资源并触发下载行为。

设置正确的 Content-Type 和 Content-Disposition

浏览器是否弹出下载对话框，主要取决于两个响应头：

• Content-Type：建议设为 application/octet-stream（通用二进制流），避免因 MIME 类型被浏览器尝试内嵌打开（如 PDF、图片）；若明确类型且希望强制下载，也可用具体类型（如 application/pdf）+ 强制 disposition。
• Content-Disposition：必须设为 attachment; filename="xxx.ext"，其中 filename 建议使用 ASCII 字符，中文名需用 filename*=UTF-8''xxx.ext 编码（兼容性更好）。

安全读取文件并流式写入 ResponseWriter

不要一次性将大文件全部读入内存。推荐用 io.Copy 直接从文件句柄复制到 ResponseWriter，底层自动分块传输：

• 先用 os.Open 打开文件，记得 defer f.Close()；
• 调用 w.Header().Set() 设置上述两个关键 header；
• 用 io.Copy(w, f) 流式传输，高效且内存友好；
• 注意检查 os.Open 错误（如文件不存在、权限不足），返回 404 或 403 状态码。

处理中文文件名和路径安全

用户请求的文件名若来自 URL 参数（如 /download?name=报告.pdf），务必做白名单校验或路径清理，防止目录遍历攻击（如 ../../../etc/passwd）：

赣极购物商城网店建站软件系统

大小仅1兆左右 ，足够轻便的商城系统； 易部署，上传空间即可用，安全，稳定； 容易操作，登陆后台就可设置装饰网站； 并且使用异步技术处理网站数据，表现更具美感。 前台呈现页面，兼容主流浏览器，DIV+CSS页面设计； 如果您有一定的网页设计基础，还可以进行简易的样式修改，二次开发， 发布新样式，调整网站结构，只需修改css目录中的css.css文件即可。 商城网站完全独立，网站源码随时可供您下载

下载

立即学习“go语言免费学习笔记（深入）”；

• 建议只允许字母、数字、下划线、短横线和常见扩展名；
• 用 filepath.Base() 提取纯文件名，再结合白名单验证；
• 中文名下载时，Content-Disposition 推荐写成：
  attachment; filename="report.pdf"; filename*=UTF-8''%E6%8A%A5%E5%91%8A.pdf

完整示例（精简可用）

以下是一个安全、流式、支持中文名的下载 handler 示例：

func downloadHandler(w http.ResponseWriter, r *http.Request) {
    filename := r.URL.Query().Get("name")
    if filename == "" {
        http.Error(w, "missing name", http.StatusBadRequest)
        return
    }

    // 安全过滤：只保留合法字符，禁止路径遍历
    cleanName := filepath.Base(filename)
    if !isValidFilename(cleanName) {
        http.Error(w, "invalid filename", http.StatusBadRequest)
        return
    }

    filePath := "./uploads/" + cleanName
    f, err := os.Open(filePath)
    if os.IsNotExist(err) {
        http.Error(w, "file not found", http.StatusNotFound)
        return
    }
    if err != nil {
        http.Error(w, "cannot open file", http.StatusInternalServerError)
        return
    }
    defer f.Close()

    // 获取文件真实大小用于 Content-Length（可选但推荐）
    fi, _ := f.Stat()
    w.Header().Set("Content-Length", fmt.Sprintf("%d", fi.Size()))

    // 设置强制下载 + 支持中文名
    encodedName := url.PathEscape(cleanName) // 简单转义（生产建议用 mime.BEncoding）
    w.Header().Set("Content-Type", "application/octet-stream")
    w.Header().Set("Content-Disposition", fmt.Sprintf(`attachment; filename="%s"; filename*=UTF-8''%s`, cleanName, encodedName))

    // 流式输出
    io.Copy(w, f)
}

func isValidFilename(name string) bool {
    match, _ := regexp.MatchString(`^[a-zA-Z0-9\u4e00-\u9fa5._\-]+\.([a-zA-Z0-9]{2,})$`, name)
    return match
}

基本上就这些。不复杂但容易忽略 header 设置和路径安全 —— 少一步，就可能变成文件被浏览器打开、乱码，甚至服务器文件被任意读取。