Go 中 HTTP 请求体是否被自动缓冲？

go 的 `http.request.body` 不会自动全量缓冲，服务器在接收到请求头后立即调用 `servehttp`，而请求体按需读取；若不主动读取或限制读取超时，慢速攻击（如 slowloris）可能导致连接长期占用和内存/连接数耗尽。

在 Go 的 net/http 包中，http.Request.Body 是一个实现了 io.ReadCloser 接口的流式读取器（通常是 *io.LimitedReader 包裹的底层网络连接），它本身不预先缓存整个请求体。这意味着：

• ✅ 服务器在解析完 HTTP 请求头（即 GET /path HTTP/1.1 及其 headers）后，立即调用你的 ServeHTTP 方法，无需等待请求体（如 POST 数据）传输完成；
• ❌ r.Body 不是内存中的字节切片或缓冲区，而是对底层 net.Conn 的封装——数据仅在你显式调用 io.ReadAll(r.Body)、r.ParseForm()、json.NewDecoder(r.Body).Decode() 等读操作时，才从 TCP 连接中按需拉取；
• ⚠️ 但这也带来风险：如果你的 handler 完全忽略 r.Body（例如对 POST 请求不做任何读取），该连接将保持打开状态，底层 socket 缓冲区可能持续积压未读数据，而 Go 的 HTTP server 不会主动关闭空闲的请求体读取连接——这正是 Slowloris 类攻击的突破口。

正确应对方式：超时控制 + 主动读取

最直接、有效的防护不是依赖“是否缓冲”，而是通过 连接级与读取级超时 来限制恶意行为：

server := &http.Server{
    Addr:         ":8080",
    Handler:      &MyHandler{},
    ReadTimeout:  5 * time.Second,  // 从连接建立到读完 request header 的总时间上限
    ReadHeaderTimeout: 2 * time.Second, // 仅限制读取 header 的时间（Go 1.8+）
    WriteTimeout: 10 * time.Second,
    IdleTimeout:  30 * time.Second,
}
log.Fatal(server.ListenAndServe())

? 关键说明： ReadTimeout 从 Accept 开始计时，覆盖 header 解析 + body 读取全过程； ReadHeaderTimeout 更精准，仅约束 header 解析阶段（防止 header 慢速攻击）； 即使 handler 内部未读 r.Body，超时仍会触发连接关闭，避免资源长期悬挂。

此外，在业务逻辑中也应主动、有界地消费请求体，尤其对大文件上传或未知大小的 POST：

func (h *MyHandler) ServeHTTP(w http.ResponseWriter, r *http.Request) {
    if r.Method == "POST" {
        // 限制最大读取量（例如 10MB），防止 OOM
        limitedBody := http.MaxBytesReader(w, r.Body, 10<<20)
        data, err := io.ReadAll(limitedBody)
        if err != nil {
            http.Error(w, "Request body too large or read error", http.StatusRequestEntityTooLarge)
            return
        }
        // 处理 data...
    }
}

总结

• Go 不自动缓冲整个 r.Body，但也不强制你立即读取——这赋予灵活性，也带来责任；
• 慢速 POST 攻击的风险根源在于无超时的长连接 + 未读 Body，而非“Go 是否缓冲”；
• 生产环境必须配置 ReadTimeout / ReadHeaderTimeout，并结合 http.MaxBytesReader 对请求体设限；
• 切勿假设“不读 Body 就没事”——未读的 Body 会让连接持续挂起，成为 DoS 温床。

遵循以上实践，即可在保持 Go 高并发优势的同时，有效抵御 Slowloris 及类似资源耗尽型攻击。