Request headers: r.Header.Get("Authorization") — регистронезависимый. Response headers: w.Header().Set("X-Request-ID", id) — до вызова WriteHeader. Add() добавляет значение (для Set-Cookie), Set() заменяет. Del() удаляет. Values() — все значения по ключу. Важно: после w.WriteHeader() или w.Write() менять headers уже нельзя — они уже отправлены клиенту. Для чтения всех headers — r.Header — это map[string][]string.