Go语言中使用net/http包设置Set-Cookie（详解HTTP响应中的Cookie设置方法）

什么是 Set-Cookie？

Set-Cookie 是HTTP响应头的一部分，服务器通过它告诉浏览器“请保存这个Cookie”。浏览器收到后，会在后续请求中自动带上该Cookie（前提是满足域名、路径、有效期等条件）。

使用 http.SetCookie 设置 Cookie

Go语言的 net/http 包提供了 http.SetCookie 函数，专门用于在响应中设置Cookie。其函数签名如下：

func SetCookie(w ResponseWriter, cookie *Cookie)

其中，Cookie 是一个结构体，包含Name、Value、Path、Domain、Expires等字段。

完整示例：设置一个简单的登录Cookie

package mainimport (    "net/http"    "time")func loginHandler(w http.ResponseWriter, r *http.Request) {    // 创建一个Cookie    cookie := &http.Cookie{        Name:     "user_session",        Value:    "abc123xyz",        Path:     "/",        Domain:   "localhost",        Expires:  time.Now().Add(24 * time.Hour), // 24小时后过期        HttpOnly: true,        Secure:   false, // 如果是HTTPS应设为true    }    // 将Cookie写入响应    http.SetCookie(w, cookie)    // 返回响应内容    w.WriteHeader(http.StatusOK)    w.Write([]byte("登录成功！Cookie已设置。"))}func main() {    http.HandleFunc("/login", loginHandler)    http.ListenAndServe(":8080", nil)}

运行上述代码后，访问 http://localhost:8080/login，服务器会返回一个 Set-Cookie 响应头，浏览器会自动保存名为 user_session 的Cookie。

Cookie 结构体常用字段说明

• Name：Cookie名称（必须）
• Value：Cookie值（必须）
• Path：Cookie生效的路径，默认为当前路径
• Domain：Cookie所属域名，若不设置则为当前域名
• Expires：过期时间，若未设置则为“会话Cookie”（关闭浏览器即失效）
• HttpOnly：设为 true 可防止JavaScript通过 document.cookie 访问，提升安全性
• Secure：设为 true 时仅在HTTPS连接下发送Cookie

注意事项与最佳实践

1. 不要在Cookie中存储敏感信息（如密码），应只存会话ID。
2. 始终设置 HttpOnly=true 以防御XSS攻击。
3. 在生产环境中使用HTTPS时，务必设置 Secure=true。
4. 合理设置 Expires 或 MaxAge，避免Cookie长期有效带来安全风险。

总结

通过 net/http 包中的 http.SetCookie 函数，我们可以在Go语言中轻松实现 Set-Cookie 功能。掌握这一技能，对于构建用户认证、会话管理等Web功能至关重要。

希望本教程能帮助你理解如何在 Go语言 中正确设置Cookie。如果你正在学习Web开发，建议多动手实践，加深理解。

关键词回顾：Go语言、Set-Cookie、net/http、cookie设置、HTTP响应。