Golang如何解析HTTP请求头

你在学习Golang相关的知识吗？本文《Golang如何处理HTTP请求头信息》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

Golang中通过http.Request.Header读取请求头，使用Get获取单值或多值字段，响应头则通过ResponseWriter.Header()设置，需在写响应前完成。1. 读取：r.Header.Get("Key")获取首值，r.Header["Key"]获取所有值。2. 设置响应头：w.Header().Set()覆盖，Add()追加。3. 安全：校验API密钥、Origin等，避免日志记录敏感信息，防止Header注入。示例包含User-Agent、Content-Type处理及中间件认证。

在Golang中处理HTTP请求Header非常直接，主要通过http.Request对象的Header字段来访问和操作。这个字段是一个http.Header类型，底层是map[string][]string，支持多值头部字段。

读取请求Header

要获取客户端发送的请求头信息，可以通过req.Header.Get(key)方法。它返回指定键的第一个值，如果不存在则返回空字符串。这是最常用的方式。

虽然HTTP头部字段名不区分大小写，但Go的Header对象会规范化的键名（例如转为“Content-Type”这种格式），你可以使用任意大小写传入Get方法，Go会自动处理。

示例：

func handler(w http.ResponseWriter, r *http.Request) {
    userAgent := r.Header.Get("User-Agent")
    contentType := r.Header.Get("Content-Type")
    authToken := r.Header.Get("Authorization")

    fmt.Fprintf(w, "User-Agent: %s\n", userAgent)
    fmt.Fprintf(w, "Content-Type: %s\n", contentType)
}

如果你想获取某个Header的所有值（因为一个Header可能有多个值），可以使用r.Header["FieldName"]或r.Header.Values("FieldName")：

acceptValues := r.Header["Accept"]
// 或
acceptValues := r.Header.Values("Accept")
for _, v := range acceptValues {
    log.Println("Accept:", v)
}

设置响应Header

在服务器响应中添加Header，使用http.ResponseWriter的Header()方法获取响应头的引用，然后调用Set或Add方法。

• Set(key, value)：设置一个头部字段，如果已存在则覆盖。
• Add(key, value)：添加一个值，如果字段已存在，则追加而不覆盖。

示例：

func handler(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Type", "application/json")
    w.Header().Set("X-Request-ID", "12345")

    // 添加多个Cache-Control指令
    w.Header().Add("Cache-Control", "no-cache")
    w.Header().Add("Cache-Control", "no-store")

    json.NewEncoder(w).Encode(map[string]string{"status": "ok"})
}

必须在调用w.Write()或WriteHeader()之前设置响应Header，否则无效。

验证和安全相关的Header处理

在实际应用中，常需要对某些Header进行校验，比如认证Token、来源检查等。

示例：检查API密钥

func authMiddleware(next http.HandlerFunc) http.HandlerFunc {
    return func(w http.ResponseWriter, r *http.Request) {
        apiKey := r.Header.Get("X-API-Key")
        if apiKey != "my-secret-key" {
            http.Error(w, "Unauthorized", http.StatusUnauthorized)
            return
        }
        next(w, r)
    }
}

也可以检查Referer或Origin防止CSRF（配合其他机制）：

origin := r.Header.Get("Origin")
if origin != "https://trusted-site.com" {
    http.Error(w, "Forbidden", http.StatusForbidden)
    return
}

常见注意事项

• Header的Get方法是安全的，即使键不存在也不会panic，返回空字符串。
• 自定义Header建议使用X-前缀（虽然现在不强制，但有助于识别）。
• 敏感Header如Authorization应避免记录到日志中。
• 注意Header注入风险，不要将用户输入直接写入响应Header。

今天关于《Golang如何解析HTTP请求头》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！