必须先调用 ParseForm 才能读取表单值;r.FormValue("xxx") 返回空字符串的根本原因是未显式调用 r.ParseForm() 或 r.ParseMultipartForm(),而 HTTP 请求体仅可读取一次。
Go 的 http.Request 本身不自动解析表单,必须显式调用 r.ParseForm() 或 r.ParseMultipartForm() 才能访问 r.Form 和 r.PostForm。漏掉这一步,r.FormValue("xxx") 永远返回空字符串。
很多初学者直接写 r.FormValue("email") 却收不到数据,根本原因是没触发解析。HTTP 请求体只读取一次,错过就无法重试。
r.ParseForm() 适用于普通 application/x-www-form-urlencoded 表单(最常见)r.ParseMultipartForm(maxMemory) 必须在处理含文件上传的 multipart/form-data 时调用,且需指定内存阈值(如 32 )
r.ParseMultipartForm(32 —— 它对纯文本表单也兼容
r.FormValue("name")、r.PostFormValue("password") 等方法把校验硬编码在 handler 里会导致难以复用、测试困难、错误提示耦合 HTML 渲染。推荐封装成独立函数,返回结构化错误。
type FormError struct {
Field string
Msg string
}
func ValidateLoginForm(r *http.Request) []FormError {
r.ParseMultipartForm(32 << 20)
email := r.FormValue("email")
password := r.FormValue("password")
var errs []FormError
if email == "" {
errs = append(errs, FormError{Field: "email", Msg: "邮箱不能为空"})
} else if !strings.Contains(email, "@") {
errs = append(errs, FormError{Field: "email", Msg: "邮箱格式不正确"})
}
if len(password) < 6 {
errs = append(errs, FormError{Field: "password", Msg: "密码至少6位"})
}
return errs
}
http.Error 或写响应 —— 交给 handler 决定如何呈现错误"email")要和前端 net/mail.ParseAddress 而非简单 @ 判断,更可靠仅在表单中加一个 并在后端比对,是无效防护 —— 攻击者可先 GET 表单拿到 token 再伪造 POST。
gorilla/csrf 库)X-CSRF-Token)或同源表单 hidden 字段双重传递ParseForm 之后、业务逻辑之前执行,失败立即返回 403
oken 存在 URL 或 localStorage 中,易被 XSS 泄露表单接收的边界很窄,但验证和防护的深度容易被低估:解析时机、错误结构设计、CSRF 的 token 生命周期管理,三者任一出错,都会让看似完整的登录流程变成安全缺口。