Go中处理HTTP请求头需用http.Header(map[string][]string),读取用Get(单值)或Values(多值),设置响应头须在WriteHeader前,Add追加、Set覆盖,自定义头建议X-前缀并注意CORS配置。
在 Go 中处理 HTTP 请求头,核心是使用 http.Request 和 http.ResponseWriter 类型提供的 Header 字段(类型为 http.Header,本质是 map[string][]string)。它既支持读取客户端发来的请求头,也支持设置响应头。关键在于理解大小写不敏感、多值处理、以及标准头与自定义头的统一操作方式。
读取请求头:区分 Get 与 All
req.Header.Get("User-Agent") 是最常用方式,它返回第一个匹配键的值(忽略大小写),适合单值头(如 User-Agent、Content-Type)。但注意:它不会解码 URL 编码,也不做任何转换,原样返回字符串。
如果某个头可能有多个值(比如多个 Cookie 或自定义的 X-Forwarded-For),应使用 req.Header.Values("X-Forwarded-For") 获取所有值切片,或用 req.Header["X-Forwarded-For"] 直接访问底层 map(返回 []string)。
- 推荐优先用
Get处理常规单值头 - 对可能重复的头(如
Set-Cookie在响应中,或代理链中的X-Real-IP),用Values或直接索引 - 注意:
req.Header中的键名会自动标准化为“首字母大写+连字符后大写”格式(如user-agent→User-Agent),但Get方法内部已处理大小写,无需手动标准化键名
设置响应头:用 WriteHeader 前还是后?
调用 w.Header().Set("Content-Type", "application/json; charset=utf-8") 必须在 w.WriteHeader() 或首次写入响应体(如 w.Write())之前。一旦响应头被写出(即状态行已发送),再修改 Header() 将无效(Go 会静默忽略)。
立即学习“go语言免费学习笔记(深入)”;
对于需要多次追加的头(如多个 Set-Cookie),用 Add 而非 Set:
-
w.Header().Set("X-App-Version", "v1.2.0")—— 覆盖已有同名头 -
w.Header().Add("Set-Cookie", "session=abc; HttpOnly")—— 追加新条目,保留原有Set-Cookie -
w.Header().Del("X-Unwanted")—— 删除指定头
解析自定义头:命名规范与安全边界
自定义请求头建议以 X- 开头(如 X-Request-ID、X-User-Role),虽非强制,但能明确区分标准头,也便于中间件识别。Go 的 Header.Get 对 X-Request-ID 和 x-request-id 一视同仁。
但要注意:浏览器出于安全限制,不会自动带上某些自定义头到跨域请求中,除非服务端在预检响应中显式声明:
- 在 CORS 预检响应中添加
Access-Control-Allow-Headers: X-Request-ID, X-User-Role - 否则前端
fetch发起跨域请求时,这些头会被浏览器过滤掉,后端收不到 - 若头中含敏感信息(如 token 片段),避免用
X-命名误导他人认为其非关键;更推荐用标准头如Authorization或Api-Key
常见陷阱与调试技巧
开发中容易踩坑的地方:
-
误用
req.Header.Get("Cookie")解析 Cookie —— 它只返回原始字符串,需用http.ParseCookie或req.Cookies()解析结构化数据 -
在 handler 中修改
req.Header—— 虽然语法允许,但这是对原始请求头的直接修改,影响后续中间件行为,且无实际意义;应只读,不写 - 调试时快速打印所有请求头:
for k, v := range req.Header { log.Printf("%s: %v", k, v) } - 测试自定义头:用
curl -H "X-Trace-ID: abc123" http://localhost:8080/api模拟,或在 Go 测试中构造httptest.NewRequest并调用.Header.Set
