net/http 足够支撑初期博客 CRUD,应避免在 handler 中写业务逻辑、操作文件或数据库,而用显式 ServeMux、JSON 文件存储、blackfriday/v2 安全渲染、validator 统一校验,并保持数据模型与 HTTP 层解耦。
net/http 搭建基础路由,别急着上框架Go 自带的 net/http 足够支撑初期博客的 CRUD,加框架反而增加理解成本和部署复杂度。重点是把请求路径、方法、数据绑定逻辑理清楚。
常见错误:直接在 http.HandleFunc 里写业务逻辑,导致函数臃肿、无法测试、难以复用。
r.URL.Query() 或 json.NewDecoder(r.Body))、调用 service 层函数、写响应(json.NewEncoder(w).Encode())http.ServeMux 显式注册路由,比默认 http.DefaultServeMux 更可控,也方便后续加中间件(如日志、认证)早期博客内容少、并发低、无事务需求,用 os.WriteFile 写入结构化 JSON 到 ./data/posts/ 目录,比 SQLite 或 PostgreSQL 启动快、备份简单、调试直观。
容易踩的坑:多个请求同时写同一个文件导致数据丢失。
uuid.NewString()),文件名即 ID,避免中文或空格命名os.ReadFile + json.Unmarshal;写入前先 os.MkdirAll("./data/posts", 0755)
os.OpenFile(..., os.O_APPEND) 追加——JSON 不支持追加,必须整文件重写tmp := path.Join(dir, id+".tmp")),再 os.Rename
blackfriday/v2,但注意 XSS 风险blackfriday/v2 是目前最稳定的 Go Markdown 解析器,支持自定义 renderer,适合博客正文渲染。
关键问题:用户提交的 Markdown 可能含恶意 HTML(如 ),直接渲染会引发 XSS。
html.WithUnsafe(false)(默认就是 false,但显式写出更稳妥)bluemonday 做白名单过滤,而不是关掉 WithUnsafe
html.Renderer,不要依赖默认输出blackfriday.Run([]byte(md)) —— 它已弃用,改用 markdown.ToHTML(v2 API)validator 库手动检查 title != ""、len(content) > 10 很容易漏,且分散在各 handler 中。统一用 go-playground/validator 结合 struct tag 约束。
典型场景:新建文章时前端传了空 title 或超长 slug。
v
alidate:"required,min=1,max=100" 等 tag,字段名保持小写(
alidate:"required,min=1,max=100"Title string `json:"title" validate:"required"`)err.(validator.ValidationErrors) 提取具体字段和规则,返回 JSON 错误(如 {"field":"title","error":"required"})strings.ToLower(strings.ReplaceAll(title, " ", "-")) 简单处理Metadata 字段需加 validate:"dive"
type Post struct {
ID string `json:"id"`
Title string `json:"title" validate:"required,min=1,max=100"`
Slug string `json:"slug" validate:"required,alphanumdash"`
Content string `json:"content" validate:"required,min=10"`
CreatedAt time.Time `json:"created_at"`
}
func (p *Post) Validate() error {
return validator.New().Struct(p)
}
真正难的不是写完发布功能,而是当某天想加分类、标签、草稿箱时,发现当初没把数据模型和 HTTP 层解耦——那时再重构,比从头写还费劲。
服务热线