静态资源应统一放在 ./static 目录,开发期用 http.Dir("./static"),生产期优先使用 embed.FS 嵌入;CSS/JS 中需用绝对路径(如 /static/logo.png)或构建工具处理。
静态资源该放在哪里?Go 项目目录结构建议
Go Web 项目没有默认的“public”或“static”目录约定,但实际部署时必须明确资源路径。常见错误是把 css、js、images 直接丢在项目根目录下,导致 go build 后二进制找不到文件——因为 os.Open 或 http.FileServer 默认只读运行时路径,不是源码路径。
推荐做法:统一放在 ./static 目录,并在构建时确保它随二进制一起发布(例如用 embed.FS 或部署脚本复制)。
- 开发期:用
http.Dir("./static")指向本地目录 - 生产期:优先用
embed.FS打包,避免依赖外部文件系
统
- 若需热更新(如 CMS 后台上传图片),才保留外部目录,但要加
filepath.Abs校验路径,防遍历攻击
用 embed.FS 嵌入静态资源(Go 1.16+)
embed.FS 是目前最稳妥的方案:编译时打包资源进二进制,无 I/O 依赖、无路径错乱、天然支持 gzip 压缩(配合 http.ServeContent)。
注意点:
立即学习“go语言免费学习笔记(深入)”;
- 必须用
//go:embed注释声明,且路径是相对于当前.go文件的 - 不能嵌入
..上级路径,也不能用变量拼接路径 -
embed.FS返回的文件名是相对路径,http.FileServer需用http.FS转换
package mainimport ( "embed" "net/http" )
//go:embed static/* var staticFiles embed.FS
func main() { fs := http.FS(staticFiles) http.Handle("/static/", http.StripPrefix("/static/", http.FileServer(fs))) http.ListenAndServe(":8080", nil) }
为什么不要直接用 http.FileServer(“./static”)?
直接传字符串路径给 http.FileServer 看似简单,但会踩三个坑:
- 运行时路径 = 当前工作目录,不是项目根目录 →
./static可能根本不存在 - 没做路径净化,用户请求
/static/../../etc/passwd可能越权读取(虽新版 Go 已默认限制,但旧版本或自定义 handler 仍危险) - 无法控制缓存头、压缩、MIME 类型,比如
.js返回text/plain导致浏览器不执行
正确替代:用 http.FS 包装过的 embed.FS 或 http.Dir,它们内部已做路径安全校验和 MIME 推断。
如何处理 CSS/JS 中的相对路径引用?
前端代码里写 url(./logo.png) 或 import "./utils.js",在嵌入模式下会失效——因为构建后所有资源都在内存 FS 里,没有真实目录层级。
解决方案只有两个:
- 前端构建阶段用工具(如
vite、webpack)将资源哈希并输出完整路径,后端只托管最终dist/目录 - 不走构建,纯手写 HTML/CSS,则所有资源引用必须用绝对路径,且与 Go 的路由前缀一致(如
/static/logo.png)
切忌在 HTML 里写 然后靠 http.StripPrefix “猜路径”——一旦路由嵌套变深(如 /admin/static/),就全崩。
