17370845950

用 net/http 实现投票服务：内存 map 存选项，sync.RWMutex 保护并发；/vote 投票（校验 token 去重）、/results 查结果、CSV 导出加 UTF-8 BOM；handler 全部 defer-recover，禁用 debug.PrintStack，日志不回传前端。

用 net/http 快速启动投票服务，别碰框架先

不需要 gin 或 echo，原生 net/http 足够撑起一个带增删查的投票接口。重点是把路由和状态分离清楚：投票选项存在内存 map 里（开发阶段），用 sync.RWMutex 保护并发读写。别一上来就连数据库——90% 的调试问题出在过早引入外部依赖。

• http.HandleFunc("/vote", handleVote) 接收 POST，解析 JSON 中的 option_id
• http.HandleFunc("/results", handleResults) 返回当前各选项计数，用 json.NewEncoder(w).Encode()
• 所有写操作（如新增选项、投票）必须加 mutex.Lock()，读操作用 RUnlock()

投票去重靠客户端 IP + User-Agent 不可靠，改用简单 token

只靠 r.RemoteAddr 或 r.Header.Get("User-Agent") 做去重，几行代码就能绕过。实际只需在首次访问根路径时生成一个带过期时间的 base64 token，存进 HTTP Cookie，并在 handleVote 中校验它是否已投过票。

• 用 crypto/rand.Read() 生成 12 字节随机数，再 base64.StdEncoding.EncodeToString()
• Cookie 设置 MaxAge: 3600（1 小时），HttpOnly: true，避免 JS 篡改
• 服务端维护一个 map[string]bool 记录已投 token，key 是 token 值，不是 IP

统计结果导出为 CSV 时注意中文乱码和 Excel 兼容性

直接用 encoding/csv 写中文字段，Excel 打开会显示乱码。根本原因是 Windows 默认用 GBK 解析 CSV，而 Go 输出的是 UTF-8。必须在文件开头插入 UTF-8 BOM（\uFEFF）。

func exportCSV(w http.ResponseWriter, results map[string]int) {
	w.Header().Set("Content-Type", "text/csv; charset=utf-8")
	w.Header().Set("Content-Disposition", `attachment; filename="votes.csv"`)

	writer := csv.NewWriter(w)
	defer writer.Flush()

	// 写入 BOM
	w.Write([]byte("\uFEFF"))

	writer.Write([]string{"选项", "票数"})
	for option, count := range results {
		writer.Write([]string{option, strconv.Itoa(count)})
	}
}

部署前必须关掉 debug.PrintStack() 和未捕获 panic

本地测试时习惯用 log.Fatal(err) 或裸奔 panic，上线后一次非法 JSON 就会让整个服务 crash。HTTP handler 必须包一层 defer-recover，且禁止打印完整堆栈到响应体——这等于把内存布局暴露给攻击者。

• 在每个 handler 开头加 defer func() { if r := recover(); r != nil { http.Error(w, "Internal error", http.StatusInternalServerError) } }()
• 所有 json.Unmarshal 后必须检查 err，错误时返回 http.StatusBadRequest，不调 fmt.Println
• 日志用 log.Printf("[vote] %v", err) 写到文件或 stdout，别回传给前端

真实环境里，最常被忽略的是 token 过期后没清内存里的记录，导致 map 持续膨胀；还有就是 CSV 导出没加 BOM，运营同学每天手动用记事本转码。