Go 的 http.Header 是结构体而非 map,不支持直接索引赋值,必须用 Set、Add、Get、Values 等方法操作;Set-Cookie 等多值 header 需用 Add;响应头在 WriteHeader 或写入响应体后修改无效。
Header 是 map 类型但不能直接赋值
Go 的 http.Header 看起来像 map[string][]string,但它是结构体类型,底层封装了同步安全的 map。直接用 header["X-User-ID"] = []string{"123"} 会编译失败 —— 因为它不支持索引赋值语法。
必须通过方法操作:
-
header.Set("X-User-ID", "123"):覆盖所有同名 header(只保留一个) -
header.Add("X-Forwarded-For", "192.168.1.1"):追加,允许多个同名 header -
header.Get("Content-Type"):返回第一个值(忽略大小写),没找到返回空字符串 -
header.Values("Set-Cookie"):返回全部值组成的 slice,适合多值 header(如Set-Cookie)
读取请求 Header 时注意大小写和原始键名
HTTP/1.1 规范规定 header 名不区分大小写,net/http 在解析请求时会把所有 header key 标准化为首字母大写的格式(比如 user-agent → User-Agent),但底层存储仍按原始接收顺序保留。
这意味着:
立即学习“go语言免费学习笔记(深入)”;
-
r.Header.Get("user-agent")和r.Header.Get("User-Agent")都能取到值 - 但
r.Header["User-Agent"]是非法访问,编译报错 - 如果客户端发了两个
cookieheader,r.Header.Values("Cookie")会合并成一个字符串(用逗号分隔),而http.Request.Cookies()才是正确解析多个 Cookie 的方式
响应 Header 中 Set-Cookie 必须用 Add 而非 Set
Set-Cookie 是少数允许重复出现的 header,浏览器靠它设置多个 Cookie。如果用 w.Header().Set("Set-Cookie", "a=1") 再调一次 Set("Set-Cookie", "b=2"),后者会覆盖前者,最终只有一个 Cookie 生效。
正确做法是始终用 Add:
w.Header().Add("Set-Cookie", "sessionid=abc; Path=/; HttpOnly")
w.Header().Add("Set-Cookie", "theme=dark; Max-Age=3600; SameSite=Lax")
注意:http.SetCookie(w, &http.Cookie{...}) 内部也是调用 Add,推荐优先使用这个封装函数,避免手动拼接字符串出错。
修改已写出的 Header 会静默失败
一旦调用过 w.WriteHeader(statusCode) 或向 http.ResponseWriter 写入响应体(哪怕只是 w.Write([]byte{})),header 就被锁定。后续对 w.Header() 的任何修改(Set/Add)都无效,且不会报错。
常见陷阱:
- 在中间件里写了日志或埋点后又想加 header → 必须确保 header 操作在所有可能触发写响应的操作之前
- defer 里调用
w.Header().Set(...)→ 很可能已经晚了 - panic 恢复后试图补 header → 此时 response 已部分写出,header 修改被丢弃
调试建议:在 handler 开头打日志确认 w.Header().Get("Content-Type") 是否为空;或用 httptest.ResponseRecorder 在单元测试中检查最终 header 状态。