Go中r.Body必须读完，否则HTTP/1.1连接复用可能失败；应显式读取（如io.Copy(io.Discard, r.Body)），JSON/XML解码可直接用json.NewDecoder(r.Body).Decode()，但不可重复读。

Go中r.Body必须读完，否则连接可能被复用失败

Go的http.Server默认启用HTTP/1.1连接复用（keep-alive），但前提是请求体被完整读取。如果 handler 中忽略r.Body、或只读一部分（比如用io.LimitReader截断）、或读取时发生 panic，底层会认为请求未处理完毕，后续请求可能卡住或返回400 Bad Request（含malformed HTTP version等误导性错误）。

实操建议：

• 所有 handler 都应显式读取并消耗r.Body，哪怕你不需要内容 —— 可用io.Copy(io.Discard, r.Body)
• 若需解析 JSON/XML，直接用json.NewDecoder(r.Body).Decode(&v)，它内部会读完流；但注意：解码失败后r.Body已部分消耗，不能再重复读
• 不要在 defer 中读r.Body，因为 handler 返回后连接可能已被回收

用io.ReadAll还是json.Decode？看数据大小和结构

io.ReadAll(r.Body)把整个请求体加载进内存，适合小数据（如json.NewDecoder(r.Body).Decode()是流式解析，内存占用低，但只能单次使用，且要求 Body 是合法 JSON。

常见选择依据：

• 请求体确定是 JSON 且结构固定 → 优先用json.NewDecoder(r.Body).Decode(&v)
• 需要校验签名、计算 hash 或重放 Body → 必须先io.ReadAll，再用bytes.NewReader构造新 Reader 供多次读取
• 上传文件或大文本（如日志行）→ 改用bufio.Scanner逐行读，避免 OOM

body, err := io.ReadAll(r.Body)
if err != nil {
    http.Error(w, "read body failed", http.StatusBadRequest)
    return
}
// 后续可多次使用 body 字节切片

r.ParseForm()和r.FormValue()不适用于原始 Body

r.ParseForm()只解析application/x-www-form-urlencoded和multipart/form-data两类请求的表单字段，对application/json、text/plain等类型完全无效。调用后r.FormValue("key")仍为空，且不会触发r.Body读取 —— 它依赖r.PostForm，而该字段仅在解析成功后填充。

典型误用现象：

• 前端发 JSON，后端却调r.ParseForm() + r.FormValue("id") → 始终返回空字符串
• 没调r.ParseForm()就直接用r.FormValue() → 总是空，且无报错提示
• Content-Type为application/json时，r.ParseForm()会静默失败（返回nil error），但r.Form仍是空

读取 Body 前务必检查Content-Length和

Transfer-Encoding

Go 的http.Request对Transfer-Encoding: chunked自动处理，你无需关心分块逻辑；但若请求带Content-Length: 0或头部声明长度为 0，r.Body就是空的io.ReadCloser，此时io.ReadAll会立即返回空字节切片，不是错误。

安全做法：

limitedBody := http.MaxBytesReader(w, r.Body, 10<<20) // 限制 10MB
body, err := io.ReadAll(limitedBody)
if err == http.ErrBodyReadAfterClose {
    // 已关闭的 Body 被重复读
} else if err == http.ErrHandlerTimeout {
    // 超时，但通常由 Server.ReadTimeout 触发，非 Body 本身
}