Godoc 服务器禁用源码访问只展示文档的方法

服务器中禁用源码访问并仅展示文档 " />

本文介绍在 Go 文档服务器（godoc）中彻底屏蔽源码浏览功能的实用方案，重点推荐通过反向代理限制 /src 路径的工业级做法，并提供 Nginx 配置示例与注意事项。

本文介绍在 Go 文档服务器（godoc）中彻底屏蔽源码浏览功能的实用方案，重点推荐通过反向代理限制 `/src` 路径的工业级做法，并提供 Nginx 配置示例与注意事项。

Go 自带的 godoc 工具是构建内部 API 文档服务的轻量选择，但其默认服务器模式（-http）不支持真正意义上的“只读文档”发布：即使使用 -links=false 或 -src=false 参数，这些标志仅对命令行静态生成模式生效，对 HTTP 服务模式完全无效。这意味着外部用户仍可通过直接访问 /src/xxx 或点击类型跳转链接查看源码——这在向第三方共享文档时存在敏感代码泄露风险。

✅ 推荐方案：反向代理拦截 /src 路径（最稳健）

无需修改 Go 源码或 fork godoc，利用成熟反向代理（如 Nginx、Caddy 或 Traefik）在网关层拦截所有对 /src 的请求，是最安全、可维护性最高且部署最快的方案：

# nginx.conf 片段：godoc 反向代理配置
upstream godoc_backend {
    server 127.0.0.1:6060;  # godoc -http=:6060
}

server {
    listen 80;
    server_name doc.internal.example.com;

    # ? 严格禁止外部访问 /src 路径
    location ^~ /src/ {
        deny all;
        return 403 "Source code access is disabled.";
    }

    # 允许内部 IP 访问（可选：供团队调试）
    location ^~ /src/internal/ {
        allow 192.168.10.0/24;
        deny all;
        proxy_pass http://godoc_backend;
    }

    # 正常代理其他路径（/pkg, /cmd, /search 等）
    location / {
        proxy_pass http://godoc_backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

✅ 优势说明：

• 零 godoc 修改，兼容所有 Go 版本（包括已废弃的 1.3+ 至最新 1.22）；
• 支持细粒度控制（如仅放行内网 IP 查看源码）；
• 可叠加认证（Basic Auth / JWT）、日志审计、速率限制等企业级能力；
• 即使用户手动拼接 URL（如 https://doc.example.com/src/fmt/print.go），也会立即返回 403 Forbidden。

⚠️ 其他方案对比与局限性

? 关键注意事项

• -src=false 仅作用于命令行模式：该参数在 godoc -http 启动时被忽略，勿依赖它实现源码隐藏；
• URL 手动访问是主要攻击面：即使移除页面内所有源码链接，用户仍可构造 /src/path/to/file.go 直接访问——因此必须在 HTTP 层拦截路径；
• 验证是否生效：启动服务后，用 curl -I https://your-docs.com/src/fmt/ 应返回 403，而非 200 或 302；
• 替代工具建议：新项目可考虑 pkg.go.dev（公开托管）或开源替代品如 docu（支持权限配置），但对存量 godoc 服务，Nginx 方案仍是首选。

综上，通过反向代理精确封禁 /src 路径，是以最小代价达成「纯文档发布」目标的工程最佳实践。几行配置即可落地，兼具安全性、兼容性与可扩展性。