本文永久链接 – https://tonybai.com/2025/06/22/unexpected-security-footguns-in-go-parsers

大家好，我是Tony Bai。

在 Go 语言中，标准库的 encoding/json 包无疑是我们日常打交道最多的伙伴之一。它简洁易用，性能尚可，支撑了无数 Go 应用的数据交换需求。然而，正如俗话所说，“最熟悉的地方可能藏着最深的坑”，最近拜读了知名安全公司 Trail of Bits 的一篇深度剖析文章——“Unexpected security footguns in Go’s parsers”（Go 解析器中意想不到的安全“绊脚石”）——让我对这个朝夕相处的伙伴有了全新的、甚至可以说是“惊出一身冷汗”的认识。

这篇文章系统性地揭示了 Go 标准库中的 JSON、XML（以及流行的第三方 YAML）解析器在处理非受信数据时，存在一些设计上或默认行为上的“特性”，这些“特性”在特定场景下很容易被攻击者利用，演变成严重的安全漏洞。文中提到的真实案例，如 Hashicorp Vault 的认证绕过 (CVE-2020-16250)，更是触目惊心。

今天，我们就结合 Trail of Bits 的这篇“檄文”，深入挖掘一下 Go 解析器（特别是我们最常用的 encoding/json）的那些“隐秘角落”，看看它们是如何成为安全陷阱的，并展望一下被寄予厚望的 JSONv2 将如何带来“救赎”。

Go 解析器的“温柔一刀”：那些被忽视的默认行为

Trail of Bits 的文章通过三个核心的攻击场景，向我们展示了 Go 解析器的一些“意外行为”是如何被利用的。让我们聚焦于与 encoding/json (v1 版本，即我们目前广泛使用的版本) 相关的几个关键点：

场景一：非预期的序列化/反序列化

你以为你很好地控制了哪些数据该公开，哪些该保密？但encoding/json 的一些默认行为可能会让你大吃一惊。

• 无标签字段的“默认暴露”

Go 结构体中，如果一个字段没有 json 标签，encoding/json 在反序列化时会尝试使用该字段的导出名（首字母大写）作为 JSON 键进行匹配（大小写不敏感）。这可能导致开发者预期之外的数据被修改。

// https://go.dev/play/p/soIQPrr0GiI
package main

import (
    "encoding/json"
    "fmt"
)

type UserNoTag struct {
    Username string // 没有 json 标签，但字段名是 Username
    IsAdmin  bool   // 同样没有标签
}

func main() {
    jsonData := {"Username": "attacker", "IsAdmin": true}
    var u UserNoTag
    err := json.Unmarshal([]byte(jsonData), &u)
    if err != nil {
        fmt.Println("Error:", err)
        return
    }
    // 预期：可能希望 IsAdmin 不被外部设置
    // 结果：u.IsAdmin 会被设置为 true
    fmt.Printf("User: %+v\n", u) // Output: User: {Username:attacker IsAdmin:true}
}

在这个例子中，即使 IsAdmin 字段没有 json 标签，攻击者仍然可以通过提供名为 “IsAdmin” (或 “isAdmin”, “isadmin” 等) 的 JSON 键来设置其值。如果 IsAdmin 是一个敏感字段，这就构成了一个潜在的安全风险。Trail of Bits 指出，一个分心或经验不足的开发者可能就此引入漏洞。

• 误用 json:”-,omitempty”

json:”-” 标签的正确含义是“在序列化和反序列化时完全忽略此字段”。但如果错误地与 omitempty 组合成 json:”-,omitempty”，Go 解析器会将其解释为：此字段在 JSON 中的名称是 “-” (一个短横线字符串)，并且当其为空值时在序列化时省略。这意味着，它不再被忽略，而是可以通过名为 “-” 的 JSON 键来操作。看下面示例：

// https://go.dev/play/p/hmADZWNxk2Y
package main

import (
    "encoding/json"
    "fmt"
)

type UserMisuseDash struct {
    Username string json:"username"
    IsAdmin  bool   json:"-,omitempty" // 错误用法！
}

func main() {
    // 攻击者尝试通过名为 "-" 的键设置 IsAdmin
    jsonData := {"username": "guest", "-": true}
    var u UserMisuseDash
    err := json.Unmarshal([]byte(jsonData), &u)
    if err != nil {
        fmt.Println("Error:", err)
        return
    }
    // 结果：u.IsAdmin 被成功设置为 true!
    fmt.Printf("User: %+v\n", u) // Output: User: {Username:guest IsAdmin:true}
}

Trail of Bits 发现 Flipt 和 Langchaingo 等项目中都曾出现过这种误用，导致敏感字段可被外部控制。正确的忽略方式应该是 json:”-”。

• 误用 json:”omitempty” 作为字段名

这是一个更直接的错误：开发者本意是想为字段添加 omitempty 选项，却错误地将其写成了 JSON 键名。

// https://go.dev/play/p/FpH2Ff0pXZ6
package main

import (
    "encoding/json"
    "fmt"
)

type UserMisuseOmitempty struct {
    Username string json:"username"
    Role     string json:"omitempty" // 错误！Role 字段在 JSON 中的名字变成了 "omitempty"
}

func main() {
    jsonData := {"username": "user1", "omitempty": "admin"}
    var u UserMisuseOmitempty
    err := json.Unmarshal([]byte(jsonData), &u)
    if err != nil {
        fmt.Println("Error:", err)
        return
    }
    // 结果：u.Role 被设置为 "admin"
    fmt.Printf("User: %+v\n", u) // Output: User: {Username:user1 Role:admin}
}

Trail of Bits 在 GitHub 上搜索发现了多个知名项目（如 Gitea, Kustomize, Btcd, Evcc）中存在将字段 JSON 名错误设置为 omitempty 的情况。正确的做法应该是 json:”fieldName,omitempty” 或者如果想用默认字段名则是 json:”,omitempty”。

场景二：解析器差异性攻击

当同一个 JSON 数据被多个行为不一致的解析器处理时，攻击者可以利用这些差异性来绕过安全控制。

• 重复字段：Go 的 encoding/json 默认取最后一个同名键的值

// https://go.dev/play/p/uw0ElbJYrp9
package main

import (
    "encoding/json"
    "fmt"
)

type ActionRequest struct {
    Action string json:"action"
}

func main() {
    jsonData := {"action": "readData", "action": "deleteData"}
    var req ActionRequest
    err := json.Unmarshal([]byte(jsonData), &req)
    if err != nil {
        fmt.Println("Error:", err)
        return
    }
    // Go 会取最后一个 "action" 的值
    fmt.Printf("Request: %+v\n", req) // Output: Request: {Action:deleteData}
}

如果一个权限校验服务（可能用其他语言实现，或用了取第一个值的 Go JSON 库如 jsonparser）看到的是 “readData” 并放行，而实际执行业务逻辑的 Go 服务看到的是 “deleteData”，就可能导致权限绕过。

• 大小写不敏感的键名匹配：这是 encoding/json (v1) 一个广受诟病的特性

// https://go.dev/play/p/qaQlNq4bumo
package main

import (
    "encoding/json"
    "fmt"
)

type Config struct {
    IsEnabled bool json:"isEnabled"
}

func main() {
    jsonData := {"isenabled": true} // JSON 中键名是全小写
    var cfg Config
    err := json.Unmarshal([]byte(jsonData), &cfg)
    if err != nil {
        fmt.Println("Error:", err)
        return
    }
    // 即使大小写不匹配，v1 版本的 encoding/json 也会成功赋值
    fmt.Printf("Config: %+v\n", cfg) // Output: Config: {IsEnabled:true}

    // 更危险的场景，结合重复键
    jsonDataAttack := {"isEnabled": false, "isenabled": true}
    var cfgAttack Config
    json.Unmarshal([]byte(jsonDataAttack), &cfgAttack)
    // 结果可能是 true，取决于最后一个匹配上的键 (isenabled)
    fmt.Printf("Attack Config: %+v\n", cfgAttack) // Output: Attack Config: {IsEnabled:true}
}

Trail of Bits 强调这是 Go JSON 解析器最关键的缺陷之一，因为它与几乎所有其他主流语言的 JSON 解析器行为都不同（它们通常是严格大小写敏感的）。攻击者可以轻易构造 payload，如 {“action”: “UserAction”, “aCtIoN”: “AdminAction”}，利用这种差异性绕过权限检查。

场景三：数据格式混淆攻击

当一个解析器被错误地用来解析另一种格式的数据，或者其对输入数据的校验不够严格时，都可能为攻击者打开方便之门。

• 未知键 (Unknown keys) 的潜在风险

encoding/json (v1) 默认会静默地忽略输入 JSON 中，Go 目标结构体未定义的字段。虽然在简单场景下这只是数据被丢弃，但如果应用在后续流程中使用了更通用的方式（如 map[string]interface{}）来处理或透传原始 JSON 数据，这些被“忽略”的未知键就可能“复活”并造成危害。

// https://go.dev/play/p/85voViHyEEK
package main

import (
    "encoding/json"
    "fmt"
)

// 目标是解析成这个结构体，它没有 IsAdmin 字段
type UserProfile struct {
    Username string json:"username"
    Email    string json:"email"
}

func processUserData(jsonData []byte) {
    // 步骤 1: 尝试按预期结构体解析
    var profile UserProfile
    if err := json.Unmarshal(jsonData, &profile); err != nil {
        fmt.Println("Error unmarshaling to UserProfile:", err)
        // return
    }
    fmt.Printf("Parsed UserProfile: %+v\n", profile)

    // 步骤 2: 假设后续流程或为了更灵活处理，
    // 使用 map[string]interface{} 再次解析或直接用它承接原始数据
    var rawData map[string]interface{}
    if err := json.Unmarshal(jsonData, &rawData); err != nil {
        fmt.Println("Error unmarshaling to map:", err)
        return
    }
    fmt.Printf("Raw data map: %+v\n", rawData)

    // 潜在风险点：如果后续逻辑不加区分地使用了 rawData 中的所有键值对
    // 例如，直接将 rawData 用于更新数据库记录或传递给下游服务
    if isAdmin, ok := rawData["isAdmin"].(bool); ok && isAdmin {
        fmt.Println("!!! VULNERABILITY RISK: 'isAdmin' flag found in raw data and is true !!!")
        // 这里可能就根据这个 isAdmin 执行了非预期的权限提升操作
    }
}

func main() {
    // 攻击者在 JSON 中加入了一个 UserProfile 结构体中不存在的 "isAdmin" 字段
    maliciousJSON := {"username": "hacker", "email": "hacker@example.com", "isAdmin": true, "notes": "ignored by struct"}
    fmt.Println("--- Processing Malicious Order (with unknown 'isAdmin' key) ---")
    processUserData([]byte(maliciousJSON))
}

在这个例子中，json.Unmarshal 到 UserProfile 结构体时，isAdmin 和 notes 字段会被忽略。但是，当同一个 maliciousJSON 被解析到 map[string]interface{} 时，所有键（包括 isAdmin 和 notes）都会被完整地保留下来。如果后续的业务逻辑（比如权限判断、数据存储、传递给模板引擎或下游 API）不加小心地依赖了这个 rawData map，就可能错误地使用了攻击者注入的、未在预期结构体中定义的 isAdmin: true，从而导致权限提升或其他安全问题。这本质上是一种参数污染。

• 头部/尾部垃圾数据 (Leading/Trailing garbage data)

encoding/json (v1) 对输入数据的“纯净度”要求并非总是那么严格。json.Unmarshal通常期望输入是一个单一、完整的 JSON 值。如果JSON值后面跟着非空白的垃圾数据，它通常会报错。但是，如 Trail of Bits 指出的，json.Decoder 在处理流式数据时，如果使用其 Decode() 方法，它可能在成功解析流中的第一个有效 JSON 对象后，并不会因为流中后续存在“垃圾数据”而立即报错，而是成功返回。只有当尝试读取下一个 Token (例如调用 decoder.Token()) 并且该 Token 不是预期的 io.EOF 时，错误才会被显现。 下面Go 示例演示了 json.Decoder 对尾部垃圾数据的潜在容忍可能导致的问题：

// https://go.dev/play/p/bPTXaPHm6jD
package main

import (
    "bytes"
    "encoding/json"
    "fmt"
    "io"
)

type SimpleMessage struct {
    Content string json:"content"
}

func main() {
    fmt.Println("--- Testing Trailing Garbage Data with json.Decoder ---")
    // 一个有效的 JSON 对象，后面跟着 "恶意payload"
    jsonDataWithTrailing := {"content":"legit data"} malicious_payload_here
    reader := bytes.NewReader([]byte(jsonDataWithTrailing))
    decoder := json.NewDecoder(reader)

    var msg SimpleMessage
    // Decoder.Decode() 会尝试解码流中的下一个 JSON 值
    err := decoder.Decode(&msg)
    if err != nil {
        // 如果 JSON 本身格式错误，这里会报错
        fmt.Println("Initial Decode Error:", err)
    } else {
        // 第一个 JSON 对象被成功解码
        fmt.Printf("Successfully Decoded Message: %+v\n", msg)
    }

    // 关键：检查 Decode 之后流中是否还有剩余数据
    // Trail of Bits 指出这是 encoding/json 的一个开放 issue (golang/go#13407)，
    // 即 Decoder.Decode 后面跟非空白字符不报错。
    // 通常需要额外调用 decoder.Token() 并检查是否为 io.EOF 来确保流已耗尽。
    var buf [1]byte
    n, errPeek := reader.Read(buf[:]) // 尝试读取 Decode 之后的数据
    if n > 0 {
        fmt.Printf("!!! VULNERABILITY RISK: Trailing garbage data found after valid JSON: '%s'\n", string(buf[:n]))
        // 在某些场景下，如果应用只调用 Decode() 一次且不检查流的末尾，
        // 攻击者可能通过附加数据来尝试进行其他类型的攻击。
    } else if errPeek == io.EOF {
        fmt.Println("Stream fully consumed as expected.")
    } else if errPeek != nil {
        fmt.Println("Error peeking after decode:", errPeek)
    } else {
        fmt.Println("No trailing data or EOF not reached clearly.")
    }

    // 更规范的检查方式是使用 decoder.More() 或尝试再解码一个Token
    fmt.Println("\n--- Proper check for trailing data ---")
    reader2 := bytes.NewReader([]byte(jsonDataWithTrailing))
    decoder2 := json.NewDecoder(reader2)
    var msg2 SimpleMessage
    decoder2.Decode(&msg2) // 解码第一个

    // 尝试解码下一个token，期望是EOF
    tok, errTok := decoder2.Token()
    if errTok == io.EOF {
        fmt.Println("Proper check: Stream fully consumed (EOF).")
    } else if errTok != nil {
        fmt.Printf("Proper check: Error after expected JSON object: %v (Token: %v)\n", errTok, tok)
    } else if tok != nil {
         fmt.Printf("!!! VULNERABILITY RISK (Proper check): Unexpected token after first JSON object: %v\n", tok)
    }
}

如果应用逻辑仅仅依赖 decoder.Decode() 的单次成功返回，而没有后续检查（如确保流已到达 io.EOF），攻击者就可能在有效的 JSON 数据之后附加恶意数据。这些数据可能被后续的、未预期的处理流程读取，或者在某些HTTP请求劫持、请求伪造场景中被利用。Trail of Bits 指出这是一个已知的、但因兼容性等原因未计划修复的 issue (golang/go#13407)。

• XML 解析器的极端容忍度 (与 JSON 混淆)

虽然不是直接的 encoding/json 问题，但 Trail of Bits 强调了当数据格式处理发生混淆时（例如，用 XML 解析器去解析一个实际是 JSON 的响应），Go XML 解析器的宽松性可能导致严重问题。这提醒我们在处理任何外部输入时，都必须严格校验 Content-Type 并使用对应的正确解析器。

JSONv2 的曙光：更安全的默认与更强的控制

面对 encoding/json (v1) 的这些“隐秘角落”，Go 社区和核心团队并没有坐视不理。Trail of Bits 的文章也将最终的希望寄托在了将以实验性特性 GOEXPERIMENT=jsonv2 存在于 Go 1.25的encoding/json/v2了。

根据官方提案 (GitHub Issue #71497) ，json/v2 在安全性方面将带来诸多关键改进，很多都直接针对上述的“痛点”：

• 默认禁止重复名称： v2 在遇到 JSON 对象中存在重复名称时，会直接报错，而不是像 v1 那样默默接受最后一个。
• 默认大小写敏感匹配： v2 的字段匹配将采用精确的、大小写敏感的方式。虽然也提供了 MatchCaseInsensitiveNames 选项和 nocase 标签来兼容特定场景，但“默认安全”的原则得到了贯彻。
• 更强的未知键控制： v2 提供了 RejectUnknownMembers 选项（虽然非默认启用，但行为等同于 v1 的 DisallowUnknownFields），并引入了 unknown 标签，允许开发者将未知字段捕获到指定的 map 或 jsontext.Value 类型的字段中，而不是简单忽略。
• UnmarshalRead 校验 EOF： v2 的 UnmarshalRead 函数（用于处理 io.Reader）会校验整个输入流直到 EOF，从而有效阻止尾部垃圾数据的问题。
• 更严格的 UTF-8 处理： v2 默认要求严格的 UTF-8 编码，对无效 UTF-8 会报错。

这些改进，特别是默认行为的调整，将极大地提升 Go 应用在处理不可信 JSON 数据时的安全性，从源头上减少了许多潜在的漏洞。

给 Go 开发者的关键启示

在 JSONv2 真正成为主流之前，我们能做些什么来保护我们的 Go 应用呢？Trail of Bits 给出了一些宝贵的建议，结合 JSONv2 的趋势，我们可以总结为：

1. 默认启用严格解析：
   • 对于 encoding/json (v1)，尽可能使用 Decoder.DisallowUnknownFields() 来禁止未知字段。
   • 警惕并正确使用 json:”-” 来忽略字段，避免误用 json:”-,omitempty” 或 json:”omitempty” 作为字段名。
2. 保持服务边界的解析一致性： 当数据流经多个服务时（尤其是异构系统），确保所有环节对数据的解析行为（如重复键处理、大小写敏感性）是一致的。如果无法保证，需要在边界处增加额外的校验层。
3. 警惕数据格式混淆： 严格校验输入数据的 Content-Type，确保使用正确的解析器处理对应的数据格式。
4. 关注 JSONv2 的进展： 积极了解 JSONv2 的设计和特性，为未来可能的迁移做好准备，并理解其带来的安全增益。
5. 利用静态分析工具： Trail of Bits 提供了一些 Semgrep 规则来帮助检测代码库中常见的 JSON 解析误用模式。将静态分析集成到 CI/CD 流程中。
6. 编写明确的测试用例： 针对反序列化逻辑，编写包含各种边界情况（如重复键、不同大小写的键、未知键、垃圾数据）的测试用例，确保解析行为符合预期。

小结

Trail of Bits 的这篇文章为我们所有 Go 开发者敲响了警钟：即使是像 encoding/json 这样基础、常用的标准库，也可能因为一些不符合直觉的默认行为或被忽视的配置，而成为安全攻击的突破口。

理解这些“隐秘角落”，认识到“便利”与“安全”之间的权衡，并积极拥抱像 JSONv2 这样的改进，是我们构建更健壮、更安全的 Go 应用的必经之路。在日常开发中，对任何外部输入都保持一份警惕，审慎处理数据的解析与校验，应成为我们每个人的习惯。

你是否在项目中遇到过类似 Go 解析器的“坑”？你对 JSONv2 有哪些期待？欢迎在评论区分享你的经验和看法！ 如果觉得本文对你有所启发，也请不吝点个【赞】和【在看】，让更多 Gopher 关注 Go 的解析器安全！

资料地址：https://blog.trailofbits.com/2025/06/17/unexpected-security-footguns-in-gos-parsers/

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/06/20/about-errors-join

大家好，我是Tony Bai。

错误处理，无疑是软件开发中永恒的核心议题之一。Go 语言以其独特的、显式的错误处理机制（即 error 作为普通值返回）而著称，这种设计强调了对错误的关注和及时处理。自 Go 1.13 引入错误包装 (wrapping) 机制以来，Go 的错误处理能力得到了显著增强。而在Go 1.20 版本中，标准库 errors 包更是带来了一个备受关注的新成员：errors.Join() 函数。

这个函数允许我们将多个 error 值合并成一个单一的 error 值，并且合并后的错误依然可以通过 errors.Is 和 errors.As 进行检查。一时间，社区中对其评价不一：有人称之为“天赐之物”，认为它在特定场景下能极大提升代码表达力和用户体验；也有人持审慎态度，强调应坚守“快速失败 (Fail Fast)”的原则，避免滥用错误聚合。

那么，errors.Join() 究竟是解决特定痛点的“良药”，还是可能被误用的“潘多拉魔盒”？它与 Go 一贯倡导的错误处理哲学是相辅相成，还是有所背离？今天，我们就结合社区的讨论，深入探讨 errors.Join() 的适用场景、潜在风险以及最佳实践。

errors.Join()：是社区呼声的产物，还是多此一举？

在社区讨论中，有开发者盛赞 errors.Join()，认为它“在需要一次性检查多个不相关错误，或者创建类似伪堆栈跟踪结构以追踪错误传播路径的场景下，是天赐之物，非常棒！”

然而，一些资深 Go 开发者则给出了更审慎的观点：“请不要鼓吹无条件地聚合错误。遵循‘最小惊奇原则’，绝大多数情况下应该在遇到第一个错误时就‘快速失败’。合并错误的场景虽然存在，但合法地罕见。鼓励大家在假设需要合并错误之前，先思考 API 边界及其错误契约。”

这两种截然不同的看法，恰恰反映了 errors.Join() 在实践中可能带来的困惑和需要权衡的场景。

errors.Join() 的“高光时刻”：何时它真的是“天赐之物”？

尽管“快速失败”是处理错误的主流且通常是正确的策略，但在某些特定场景下，聚合多个错误信息并一次性返回，确实能带来显著的收益。社区讨论中，开发者们也分享了他们认为 errors.Join() 非常适用的场景：

输入验证 (Input Validation)：一次性告知所有“罪状”

这是被提及最多的场景。当处理用户输入（如表单提交）或 API 请求参数校验时，如果每次只返回第一个发现的校验错误，用户就不得不反复提交、逐个修改，体验极差。此时，将所有校验不通过的字段错误聚合起来，一次性反馈给用户，无疑是更友好的做法。

// https://go.dev/play/p/pK6cVq9exkL
package main

import (
    "errors"
    "fmt"
    "strings"
)

type UserRequest struct {
    Username string
    Email    string
    Password string
}

func validateRequest(req UserRequest) error {
    var errs []error
    if len(req.Username) < 3 {
        errs = append(errs, errors.New("用户名长度不能小于3个字符"))
    }
    if !strings.Contains(req.Email, "@") {
        errs = append(errs, errors.New("邮箱格式不正确"))
    }
    if len(req.Password) < 6 {
        errs = append(errs, errors.New("密码长度不能小于6个字符"))
    }
    // 使用 errors.Join 合并所有验证错误
    // errors.Join 会自动忽略 nil 错误
    return errors.Join(errs...)
}

func main() {
    req1 := UserRequest{"us", "email", "pass"}
    if err := validateRequest(req1); err != nil {
        fmt.Printf("请求1校验失败:\n%v\n", err)
        // 调用方可以通过 errors.Is 或 errors.As 进一步检查具体错误类型
        // 例如，如果错误是自定义类型，可以 errors.As(err, &targetErr)
    }

    req2 := UserRequest{"myuser", "myemail@example.com", "mypassword"}
    if err := validateRequest(req2); err != nil {
        fmt.Printf("请求2校验失败:\n%v\n", err)
    } else {
        fmt.Println("请求2校验通过！")
    }
}

运行该示例的输出如下（对于请求1）：

请求1校验失败:
用户名长度不能小于3个字符
邮箱格式不正确
密码长度不能小于6个字符

并行任务的错误聚合：一个都不能少

当启动多个 goroutine 执行并行操作时（例如，并发请求多个下游服务、并行处理一批数据），如果只关心第一个发生的错误，可能会丢失其他并行任务中同样重要的错误信息。此时，等待所有任务完成，收集所有可能发生的错误，并用 errors.Join() 合并，能提供更全面的错误视图。

// https://go.dev/play/p/ZtAm2-Agyo1
package main

import (
    "errors"
    "fmt"
    "sync"
    "time"
)

func processAsyncTask(id int, fail bool) error {
    fmt.Printf("任务 %d 开始...\n", id)
    time.Sleep(time.Duration(id*50) * time.Millisecond) // 模拟不同耗时
    if fail {
        fmt.Printf("任务 %d 失败！\n", id)
        return fmt.Errorf("任务 %d 执行失败", id)
    }
    fmt.Printf("任务 %d 完成。\n", id)
    return nil
}

func main() {
    tasks := []bool{false, true, false, true, false} // 任务是否失败的标志
    var wg sync.WaitGroup
    errs := make([]error, len(tasks)) // 用于收集每个任务的错误

    for i, failFlag := range tasks {
        wg.Add(1)
        go func(idx int, fail bool) {
            defer wg.Done()
            errs[idx] = processAsyncTask(idx+1, fail)
        }(i, failFlag)
    }

    wg.Wait()

    // 使用 errors.Join 合并所有任务的错误
    // errors.Join 会自动过滤掉结果为 nil 的 errs[idx]
    combinedErr := errors.Join(errs...)

    if combinedErr != nil {
        fmt.Printf("\n并行任务执行完毕，发生以下错误:\n%v\n", combinedErr)
    } else {
        fmt.Println("\n所有并行任务执行成功！")
    }
}

运行上述代码示例，我们将得到：

任务 5 开始...
任务 4 开始...
任务 1 开始...
任务 2 开始...
任务 3 开始...
任务 1 完成。
任务 2 失败！
任务 3 完成。
任务 4 失败！
任务 5 完成。

并行任务执行完毕，发生以下错误:
任务 2 执行失败
任务 4 执行失败

defer 中的错误处理：确保信息不丢失

在函数中，defer 语句常用于执行清理操作，如关闭文件、释放锁等。这些清理操作本身也可能返回错误。如果函数主体也返回了错误，我们就面临如何处理这两个（或多个）错误的问题。简单地忽略 defer 中的错误或用它覆盖主体错误都可能导致重要信息的丢失。errors.Join() 提供了一种优雅的方式来合并它们。

//https://go.dev/play/p/ccKUkWXMbuN
package main

import (
    "errors"
    "fmt"
    "os"
)

func writeFileAndClose(filename string, data []byte) (err error) {
    f, err := os.Create(filename)
    if err != nil {
        return fmt.Errorf("创建文件失败: %w", err)
    }
    defer func() {
        // 在 defer 中调用 Close，并将其错误与函数可能已有的错误合并
        closeErr := f.Close()
        if closeErr != nil {
            fmt.Printf("关闭文件 %s 时发生错误: %v\n", filename, closeErr)
        }
        // 使用 errors.Join 合并主体错误和 defer 中的错误
        // 如果 err 为 nil，Join 的行为是返回 closeErr
        // 如果 closeErr 为 nil，Join 的行为是返回 err
        // 如果两者都非 nil，则合并
        err = errors.Join(err, closeErr)
    }()

    _, err = f.Write(data)
    if err != nil {
        // 为了能被 defer 中的 Join 合并，需要将错误赋值给命名返回值 err
        err = fmt.Errorf("写入文件失败: %w", err)
        return // defer 会在这里执行
    }

    // 模拟写入成功，但关闭失败的场景
    // 或者写入失败，关闭也失败的场景

    return nil // 如果写入成功，defer 仍会执行关闭并可能 Join 错误
}

func main() {
    // 场景1: 写入成功，关闭成功 (假设)
    // (为了演示，我们不实际创建文件，避免权限问题)
    fmt.Println("测试场景：写入和关闭都成功 (理想情况)")
    // err := writeFileAndClose("good.txt", []byte("hello"))
    // fmt.Printf("结果: %v\n\n", err) // 应为 nil

    // 场景2: 模拟写入失败 (err 非 nil)，关闭也可能失败 (closeErr 非 nil)
    // 为了触发写入失败，我们可以尝试写入一个只读文件或无效路径
    // 为了触发关闭失败，这比较难模拟，但 errors.Join 能处理这种情况
    // 这里我们直接在函数逻辑中模拟这种情况
    badWriteFunc := func() (err error) { // 使用命名返回值
        fmt.Println("测试场景：写入失败，关闭也失败")
        // 模拟写入失败
        mainWriteErr := errors.New("模拟写入操作失败")
        err = mainWriteErr // 赋值给命名返回值

        defer func() {
            simulatedCloseErr := errors.New("模拟关闭操作也失败")
            fmt.Printf("关闭时发生错误: %v\n", simulatedCloseErr)
            err = errors.Join(err, simulatedCloseErr) // 合并
        }()
        return // 返回 mainWriteErr，然后 defer 执行
    }
    errCombined := badWriteFunc()
    if errCombined != nil {
        fmt.Printf("组合错误:\n%v\n", errCombined)
        // 我们可以检查这两个错误是否都存在
        if errors.Is(errCombined, errors.New("模拟写入操作失败")) {
            fmt.Println("包含：模拟写入操作失败")
        }
        if errors.Is(errCombined, errors.New("模拟关闭操作也失败")) {
            fmt.Println("包含：模拟关闭操作也失败")
        }
    }
}

运行该示例：

测试场景：写入和关闭都成功 (理想情况)
测试场景：写入失败，关闭也失败
关闭时发生错误: 模拟关闭操作也失败
组合错误:
模拟写入操作失败
模拟关闭操作也失败

“快速失败 (Fail Fast)”的黄金法则：为何它依然重要？

尽管 errors.Join() 在上述场景中表现出色，但我们不能忘记 Go 错误处理的一个核心原则——快速失败。 一些资深开发者在社区讨论中反复强调了这一点。

“快速失败”意味着：

• 一旦发生错误，应尽快中止当前操作。
• 将错误向上传播给调用者，由调用者决定如何处理。
• 避免在错误状态下继续执行，这可能导致更严重的问题或产生难以追踪的“幽灵Bug”。

在绝大多数情况下，“快速失败”是更简单、更可预测、更易于调试的错误处理策略。它符合“最小惊奇原则”，让代码的行为更符合直觉。

API 边界与错误契约：思考在“Join”之前

有开发者还提出的另一个关键点是：“在假设你需要合并错误之前，先思考你的 API 边界及其错误契约。”

一个设计良好的 API 应该清晰地告知调用者：

• 它可能返回哪些类型的错误？
• 在什么情况下会返回错误？
• 调用者应该如何响应这些错误？

如果一个 API 的职责是单一且明确的，那么通常情况下，它在遇到第一个无法自行处理的错误时就应该返回，而不是试图收集所有可能的内部错误再“打包”抛给调用者。过度使用 errors.Join() 向上层传递大量不相关的细粒度错误，可能会让调用者无所适从，造成信息噪音，反而违背了 Go 错误处理的明确性原则。

何时应该对 errors.Join() 说“不”？

结合上述讨论，以下是一些不建议或需要谨慎使用 errors.Join() 的场景：

1. 错误之间存在明确的因果或依赖关系：此时应优先处理或报告最根本的错误。
2. 简单的“快速失败”就能满足需求：不要为了“聚合”而聚合，增加不必要的复杂性。
3. API 边界清晰，且期望调用者处理单一主要错误：向调用者返回一堆它不关心或无法有效处理的内部错误，通常不是好的 API 设计。
4. 可能导致信息过载或掩盖核心问题：合并后的错误信息如果过于冗长或杂乱，反而不利于快速定位问题。

errors.Join() vs fmt.Errorf 包装多个错误：Go 1.20 的双重献礼

值得注意的是，在 Go 1.20 版本中，除了引入 errors.Join() 函数外，fmt.Errorf 的 %w 动词也得到了增强，现在它支持同时包装多个错误。这为我们组合错误信息提供了另一种选择。那么，这两者在使用和行为上有什么区别呢？

过滤 nil 错误的能力

• errors.Join(errs…) 会自动忽略 errs 切片中的 nil 错误。如果所有传入的错误都是 nil，则 errors.Join 返回 nil。
• fmt.Errorf 使用 %w 时，如果被包装的 err 是 nil，它仍然会生成一个非 nil 的错误（包含 nil 的字符串表示），除非所有 %w 对应的错误都是 nil 且格式化字符串本身在没有这些错误时会产生空错误。

我们来看一个例子：

// https://go.dev/play/p/X6aAjE0LdsY
package main

import (
    "errors"
    "fmt"
)

func main() {
    var err1 = errors.New("错误1")
    var err2 error // nil error
    var err3 = errors.New("错误3")

    // 使用 errors.Join
    joinedErr := errors.Join(err1, err2, err3)
    fmt.Printf("errors.Join 结果:\n%v\n\n", joinedErr)
    // 输出会包含 err1 和 err3，err2 (nil) 会被忽略

    // 使用 fmt.Errorf 包装多个错误
    // 注意：如果 err2 是 nil，"%w" 会输出 "<nil>"
    wrappedErr := fmt.Errorf("组合错误: 第一个: %w, 第二个(nil): %w, 第三个: %w", err1, err2, err3)
    fmt.Printf("fmt.Errorf 结果:\n%v\n\n", wrappedErr)

    // 演示 errors.Is 对两者的行为
    fmt.Printf("errors.Is(joinedErr, err1): %t\n", errors.Is(joinedErr, err1)) // true
    fmt.Printf("errors.Is(joinedErr, err2): %t\n", errors.Is(joinedErr, err2)) // false (因为 err2 是 nil 且被忽略)
    fmt.Printf("errors.Is(joinedErr, err3): %t\n", errors.Is(joinedErr, err3)) // true

    fmt.Printf("errors.Is(wrappedErr, err1): %t\n", errors.Is(wrappedErr, err1)) // true
    // 对于 fmt.Errorf，如果被包装的 err 是 nil，errors.Is 无法通过 %w 找到它
    fmt.Printf("errors.Is(wrappedErr, err2): %t\n", errors.Is(wrappedErr, err2)) // false
    fmt.Printf("errors.Is(wrappedErr, err3): %t\n", errors.Is(wrappedErr, err3)) // true

    // 如果所有错误都是 nil
    var nilErr1, nilErr2 error
    joinedNil := errors.Join(nilErr1, nilErr2)
    fmt.Printf("errors.Join(nil, nil) is nil: %t\n", joinedNil == nil) // true

    // fmt.Errorf 在所有 %w 都为 nil 时，如果格式化字符串本身为空，则可能返回 nil
    // 但通常会包含格式化字符串本身，所以不为 nil
    wrappedAllNil := fmt.Errorf("错误: %w, %w", nilErr1, nilErr2)
    fmt.Printf("fmt.Errorf(\"错误: %%w, %%w\", nil, nil) is nil: %t\n", wrappedAllNil == nil) // false
}

运行示例输出如下结果：

errors.Join 结果:
错误1
错误3

fmt.Errorf 结果:
组合错误: 第一个: 错误1, 第二个(nil): %!w(<nil>), 第三个: 错误3

errors.Is(joinedErr, err1): true
errors.Is(joinedErr, err2): false
errors.Is(joinedErr, err3): true
errors.Is(wrappedErr, err1): true
errors.Is(wrappedErr, err2): false
errors.Is(wrappedErr, err3): true
errors.Join(nil, nil) is nil: true
fmt.Errorf("错误: %w, %w", nil, nil) is nil: false

解包 (Unwrapping) 多个错误的能力

• errors.Join 返回的错误类型（如果是非 nil 的）必然实现了 interface{ Unwrap() []error } 接口。这允许调用者获取一个包含所有被合并的非 nil 原始错误的切片，从而可以对每一个原始错误进行独立的检查。
• fmt.Errorf 通过多个 %w 包装错误时，它仍然是构建一个错误链 (error chain)。这意味着错误是一层一层包装的，解包时需要多次调用 errors.Unwrap 来逐个访问。它不直接提供一次性获取所有被包装错误的方法。

// https://go.dev/play/p/8Zb2mvSFlFw
package main

import (
    "errors"
    "fmt"
)

type specialError struct {
    msg string
}

func (e *specialError) Error() string {
    return e.msg
}

func main() {
    errA := errors.New("错误A")
    errB := &specialError{"特殊错误B"}
    errC := errors.New("错误C")

    // 使用 errors.Join
    joined := errors.Join(errA, errB, errC)

    fmt.Println("使用 errors.Join 解包:")
    if unwrap, ok := joined.(interface{ Unwrap() []error }); ok {
        originalErrors := unwrap.Unwrap()
        for i, e := range originalErrors {
            fmt.Printf("  原始错误 %d: %v (类型: %T)\n", i+1, e, e)
            // 可以用 errors.As 检查特定类型
            var se *specialError
            if errors.As(e, &se) {
                fmt.Printf("    检测到 specialError: %s\n", se.msg)
            }
        }
    }
    fmt.Println()

    // 使用 fmt.Errorf 包装多个错误
    wrapped := fmt.Errorf("外层错误: (第一个: %w), (第二个: %w), (第三个: %w)", errA, errB, errC)
    // 实际的错误链结构取决于 %w 的顺序和格式化字符串
    // 例如，这里更像是 errA 被 wrapped 包裹，errB 被包裹 errA 的错误包裹，以此类推（具体取决于实现）
    // 或者，它们可能被视为并列地被一个包含描述文字的错误所包裹。
    // 为了清晰，我们假设一种简单的线性包裹（虽然内部实现可能更复杂，但 errors.Unwrap 行为类似）

    fmt.Println("使用 fmt.Errorf 解包 (逐层):")
    currentErr := wrapped
    i := 1
    for currentErr != nil {
        fmt.Printf("  解包层级 %d: %v (类型: %T)\n", i, currentErr, currentErr)
        var se *specialError
        if errors.As(currentErr, &se) { // 检查当前错误或其链中的错误
            fmt.Printf("    在链中检测到 specialError: %s\n", se.msg)
        }
        // errors.Is 也可以用于检查链中的特定错误实例
        if errors.Is(currentErr, errA) {
            fmt.Println("    在链中检测到 错误A")
        }

        unwrapped := errors.Unwrap(currentErr)
        if unwrapped == currentErr || i > 5 { // 防止无限循环或过多层级
            break
        }
        currentErr = unwrapped
        i++
    }
}

运行该示例，我们将得到预期的输出：

使用 errors.Join 解包:
  原始错误 1: 错误A (类型: *errors.errorString)
  原始错误 2: 特殊错误B (类型: *main.specialError)
    检测到 specialError: 特殊错误B
  原始错误 3: 错误C (类型: *errors.errorString)

使用 fmt.Errorf 解包 (逐层):
  解包层级 1: 外层错误: (第一个: 错误A), (第二个: 特殊错误B), (第三个: 错误C) (类型: *fmt.wrapErrors)
    在链中检测到 specialError: 特殊错误B
    在链中检测到 错误A

结合上述两个示例，我们可以看到：

• 如果你需要将多个独立的错误视为一个集合，并希望轻松地忽略其中的 nil 值，同时方便地一次性访问所有非 nil 的原始错误，那么 errors.Join() 是更直接和语义化的选择。
• 如果你更倾向于传统的错误链结构，通过错误包装来添加上下文信息，并且可以接受逐层解包，或者你的主要目的是在错误信息中包含多个原始错误的文本表示，那么 fmt.Errorf 配合多个 %w 也是可行的。

Go 1.20 同时提供这两种能力，让开发者在处理多个错误时有了更灵活的选择。理解它们的细微差别，有助于我们根据具体场景做出最合适的决策。

小结

Go 1.20 引入的 errors.Join() 无疑为 Go 语言的错误处理工具箱增添了一件强大的新工具。它在特定场景下——如输入验证、并行任务错误收集、defer 中的多错误处理——能够显著提升代码的表达力和用户体验，使得我们能够向调用者或用户提供更全面、更友好的错误信息。

然而，正如社区的讨论所揭示的，它并非“银弹”，更不应被滥用以取代“快速失败”这一久经考验的错误处理黄金法则。理解 errors.Join() 的适用边界，审慎评估其在具体场景下的收益与成本（如可能带来的信息过载或对 API 错误契约的破坏），是每一位 Gopher 都需要具备的判断力。

最终，优雅的错误处理，在于清晰、明确、以及在“最小惊奇”与“详尽信息”之间找到那个恰到好处的平衡点。errors.Join() 为我们实现这种平衡提供了一种新的可能性。

社区讨论帖：https://www.reddit.com/r/golang/comments/1ldyywj/use_errorsjoin/

聊一聊，也帮个忙：

• 在你的 Go 项目中，你遇到过哪些适合使用 errors.Join() 的场景？或者，你认为哪些场景下应该坚决避免使用它？
• 除了文中提到的，你对 Go 语言的错误处理机制还有哪些独到的见解或最佳实践？
• 你认为“快速失败”和“错误聚合”这两种策略，在设计 API 时应该如何权衡？

欢迎在评论区留下你的经验、思考和问题。如果你觉得这篇文章对你有帮助，也请转发给你身边的 Gopher 朋友们，让更多人参与到关于 Go 错误处理的深度讨论中来！

精进有道，更上层楼

极客时间《Go语言进阶课》上架刚好一个月，受到了各位读者的热烈欢迎和反馈。在这里感谢大家的支持。目前我们已经完成了课程模块一『语法强化篇』的 13 讲，为你系统突破 Go 语言的语法认知瓶颈，打下坚实基础。

现在，我们已经进入模块二『设计先行篇』，这不仅包括 API 设计，更涵盖了项目布局、包设计、并发设计、接口设计、错误处理设计等构建高质量 Go 代码的关键要素。

这门进阶课程，是我多年 Go 实战经验和深度思考的结晶，旨在帮助你突破瓶颈，从“会用 Go”迈向“精通 Go”，真正驾驭 Go 语言，编写出更优雅、更高效、更可靠的生产级代码！

扫描下方二维码，立即开启你的 Go 语言进阶之旅！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。