Golang中通过http.Request.Header读取请求头,使用Get获取单值或多值字段,响应头则通过ResponseWriter.Header()设置,需在写响应前完成。1. 读取:r.Header.Get(“Key”)获取首值,r.Header[“Key”]获取所有值。2. 设置响应头:w.Header().Set()覆盖,Add()追加。3. 安全:校验API密钥、Origin等,避免日志记录敏感信息,防止Header注入。示例包含User-Agent、Content-Type处理及中间件认证。
在Golang中处理HTTP请求Header非常直接,主要通过http.Request对象的Header字段来访问和操作。这个字段是一个http.Header类型,底层是map[string][]string,支持多值头部字段。
读取请求Header
要获取客户端发送的请求头信息,可以通过req.Header.Get(key)方法。它返回指定键的第一个值,如果不存在则返回空字符串。这是最常用的方式。
注意:
虽然HTTP头部字段名不区分大小写,但Go的Header对象会规范化的键名(例如转为“Content-Type”这种格式),你可以使用任意大小写传入Get方法,Go会自动处理。
示例:
立即学习“go语言免费学习笔记(深入)”;
func handler(w http.ResponseWriter, r *http.Request) {
userAgent := r.Header.Get("User-Agent")
contentType := r.Header.Get("Content-Type")
authToken := r.Header.Get("Authorization")
fmt.Fprintf(w, "User-Agent: %s\n", userAgent)
fmt.Fprintf(w, "Content-Type: %s\n", contentType)
}
如果你想获取某个Header的所有值(因为一个Header可能有多个值),可以使用r.Header["FieldName"]或r.Header.Values("FieldName"):
acceptValues := r.Header["Accept"]
// 或
acceptValues := r.Header.Values("Accept")
for _, v := range acceptValues {
log.Println("Accept:", v)
}
设置响应Header
在服务器响应中添加Header,使用http.ResponseWriter的Header0方法获取响应头的引用,然后调用Header1或Header2方法。
如知笔记——支持markdown的在线笔记,支持ai智能写作、AI搜索,支持DeepseekR1满血大模型
27
查看详情
- Set(key, value):设置一个头部字段,如果已存在则覆盖。
- Add(key, value):添加一个值,如果字段已存在,则追加而不覆盖。
示例:
立即学习“go语言免费学习笔记(深入)”;
func handler(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Content-Type", "application/json")
w.Header().Set("X-Request-ID", "12345")
// 添加多个Cache-Control指令
w.Header().Add("Cache-Control", "no-cache")
w.Header().Add("Cache-Control", "no-store")
json.NewEncoder(w).Encode(map[string]string{"status": "ok"})
}
提示:
必须在调用Header3或Header4之前设置响应Header,否则无效。
验证和安全相关的Header处理
在实际应用中,常需要对某些Header进行校验,比如认证Token、来源检查等。
示例:检查API密钥
func authMiddleware(next http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
apiKey := r.Header.Get("X-API-Key")
if apiKey != "my-secret-key" {
http.Error(w, "Unauthorized", http.StatusUnauthorized)
return
}
next(w, r)
}
}
也可以检查Header5或Header6防止CSRF(配合其他机制):
origin := r.Header.Get("Origin")
if origin != "https://trusted-site.com" {
http.Error(w, "Forbidden", http.StatusForbidden)
return
}
常见注意事项
- Header的
Get方法是安全的,即使键不存在也不会panic,返回空字符串。 - 自定义Header建议使用
Header8前缀(虽然现在不强制,但有助于识别)。 - 敏感Header如
Header9应避免记录到日志中。 - 注意Header注入风险,不要将用户输入直接写入响应Header。
基本上就这些。Golang的标准库让Header处理既简单又安全,只要遵循基本规则,就能正确高效地工作。
大家都在看:
避免HTML硬编码到JS中的方法是什么_避免HTML硬编码到JS中的方法实践
如何利用CSS-in-JS技术动态管理组件的样式与主题?
静态HTML页面JS和CSS加载失败问题及解决方案
为什么推荐用JS而不是直接写HTML_推荐用JS而不是直接写HTML的原因
暂无评论内容