如何设置多值HTTP标头，例如Content-Security-Policy？

I'm trying to set the Content-Security-Policy header on a http.ResponseWriter object. This is a header with multiple values. My problem is that all the methods for http.Header take a single key and a single value. For example, the Set() method looks like this:

func (h Header) Set(key, value string)

There's no method for assigning a slice of values to a header field. I want a header that looks like this.

header := http.Header{
    "Content-Type": {"text/html; charset=UTF-8"},
    "Content-Security-Policy": {"default-src 'self'", "font-src themes.googleusercontent.com", "frame-src 'none'", "style-src 'self' fonts.googleapis.com"},
}

This will create the header, but I don't know how to associate it with the http.ResponseWriter object. Furthermore, if I were somehow able to replace the ResponseWriter's header with the header above, would I have to set the Content-Length field by hand?

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douju1852 2014-07-30 03:58
关注
I'm not sure I fully understand the problem, however Content-Security-Policy expects one header that contains a list separated by ;.

If you want to use a slice you can always use something like this:

csp := []string{"default-src: 'self'", "font-src: 'fonts.googleapis.com'", "frame-src: 'none'"} header := http.Header{ "Content-Type": {"text/html; charset=UTF-8"}, } header.Set("Content-Security-Policy", strings.Join(csp, "; "))

Also if you want to send the header multiple times with different values (like you originally intended, I think), you can use header.Add.

Add adds the key, value pair to the header. It appends to any existing values associated with key.

If you want to use that in your http handler, get the header with ResponseWriter.Header():

func Handler(rw http.ResponseWriter, req *http.Request) { header := rw.Header() csp := []string{"default-src: 'self'", "font-src: 'fonts.googleapis.com'", "frame-src: 'none'"} header.Set("Content-Type": "text/html; charset=UTF-8") header.Set("Content-Security-Policy", strings.Join(csp, "; ")) rw.WriteHeader(200) //or write anything really }
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

如何为所有API端点全局设置http.ResponseWriter Content-Type标头？ json
2018-07-21 12:50

回答 1 已采纳 You can define middleware for mux router, here is an example: func main() { port := ":3000"
未使用PUT方法在Golang http客户端请求中设置Content-Length标头[关闭] http
2015-08-06 08:58

回答 2 已采纳 I was incorrect about Content-Length not being sent, I just wasn't seeing it when using httputil.D
http响应标头 Cache-Control: no-cache问题 http 缓存
2018-06-20 04:20

回答 4 已采纳请求头里的Cache-Control是no-cache，是浏览器通知服务器：本地没有缓存数据响应头中的 Cache-Control:max-age=259200 是通知浏览器：259200 秒之内
koa-csp：用于设置响应头：Content-Security-Policy
2021-02-03 17:46

这是Koa2中间件，用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ...
如何知道我的请求正文的Content-Length以便将其添加到我的请求标头中
2018-04-12 22:16

回答 1 已采纳 The documentation of http.NewRequest(method, url string, body io.Reader) (*Request, error) states:
如何在Minio SDK中设置Content-MD5标头以上传到IBM Cloud Object Storage？
2018-07-03 17:45

回答 1 已采纳 @pacalj If you look at AWS documentation for PutObject https://docs.aws.amazon.com/AmazonS3/latest
前往：检测gzip编码以手动解压缩响应，但是缺少“ Content-Encoding”标头
2017-05-19 07:57

回答 1 已采纳 I gave in to the stubbornness of the uber api and added another request header, req.Header.Add("Ac
fastify-csp:固定插件以设置Content-Security-Policy标头
2021-05-08 13:04

固定插件以设置Content-Security-Policy标头。为什么？您可能知道是使用的。您也可以将其用作fastify的中间件。那么，为什么我做了这个插件？您可能会在找到原因，并希望您喜欢它。 :) 区别该插件已通过...
在golang HTTP FileServer的Content-Type标头上设置'charset'属性 http
2015-08-30 21:46

回答 1 已采纳 FileServer calls mime.TypeByExtension to get the content type. If no type is registered for the ex
如何解析Content-Disposition标头以检索filename属性？ http
2015-03-03 22:17

回答 1 已采纳 You can parse the Content-Disposition header using the mime.ParseMediaType function. disposition,
如何在POST方法中传递标头？
2018-12-12 03:47

回答 1 已采纳 Your code sends POST request and after request is processed it adds headers to response struct:
HTTP响应头未设置‘Content-Security-Policy‘
2024-01-18 12:45

进击的程序汪的博客当HTTP响应头未设置’Content-Security-Policy’时，表示服务器没有为网页设置内容安全策略（Content Security Policy，CSP）。通过设置内容安全策略，可以限制浏览器加载哪些类型的资源，从而提高网站的安全性。...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器，将“ Content-Security-Policy”标头添加到ServletResponse
2021-05-02 10:04

将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。另请参阅：通常，您只需要有限的数目，也不需要任何init参数。如果未定义init参数，则Header将如下所示： ...
csp：PSR-15中间件，将Content-Security-Policy标头添加到响应中
2021-02-17 04:51

中间件/ csp 使用库在响应中添加标头的中间件。... composer require middlewares/csp例子use ParagonIE \ ...遗产为旧的浏览器生成旧的CSP标头（ X-Content-Security-Policy和X-Webkit-CSP ）。默认情况下为true但您可
nuxt-security:Nuxt.js的模块，用于配置安全标头等
2021-04-28 19:27

以下是可用功能的列表：严格传输安全标头内容安全策略标头X-Frame-Options标头X-Xss保护X-Content-Type-Options标头Referrer-Policy标头功能策略标头security.txt文件生成去做使用OpenPGP签署security.txt 标头...
csp-builder：从JSON文件构建Content-Security-Policy标头（或以编程方式构建标头）
2021-02-03 19:46

内容安全策略构建器从JSON配置文件或以编程方式轻松地将Content-Security-Policy标头集成到您的Web应用程序中。 CSP Builder由创建，是我们鼓励更好的实践的工作的一部分。也请查看我们的其他。还有一个使用此库...
HTTP Content-Security-Policy缺失，快速解决
2021-05-06 12:10

链诸葛的博客 Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的...
Content-Security-Policy设置
2021-04-19 14:26

weixin_45923962的博客 mode=block：启用XSS保护，并在检查到XSS攻击时，停止渲染页面（例如IE8中，检查到攻击时，整个页面会被一个#替换）； X-Content-Type-Options 互联网上的资源有各种类型，通常浏览器会根据响应头的Content-Type字
Always Disable Content-Security-Policy-crx插件
2021-04-02 00:39

对于Web应用程序测试，始终禁用Content-Security-Policy。当图标为彩色时，将禁用CSP标头。这是Phil Grayson扩展的一个分支，唯一的区别是此扩展默认情况下禁用标头。原文：...
没有解决我的问题, 去提问

如何设置多值HTTP标头，例如Content-Security-Policy？

3条回答 默认 最新

3条回答默认最新