RUNWEBTOOLS
Deutsch

HTTP-Header-Referenz

HTTP-Header sind die Metadaten, die mit jeder Anfrage und Antwort gesendet werden — sie tragen Content-Types, Caching-Regeln, Authentifizierung, Cookies und Sicherheitsrichtlinien. Hier die häufigsten, gekennzeichnet, ob sie mit der Anfrage, der Antwort oder beidem reisen. Passt gut zu unserer HTTP-Statuscode-Referenz.

Aktualisiert 2026-07-06

HeaderTypWas er tut
AcceptAnfrageMedientypen, die der Client verarbeiten kann (z. B. text/html)
Accept-EncodingAnfrageKomprimierung, die der Client unterstützt (gzip, br)
Accept-LanguageAnfrageBevorzugte Sprachen (z. B. en-US, ko)
AuthorizationAnfrageAnmeldedaten — z. B. Bearer <token> oder Basic <base64>
CookieAnfrageZuvor vom Server gesetzte Cookies
HostAnfrageDomainname des Zielservers (in HTTP/1.1 erforderlich)
OriginAnfrageUrsprung, der die Anfrage ausgelöst hat (von CORS genutzt)
RefererAnfrageURL der Seite, die auf diese Anfrage verlinkt hat
User-AgentAnfrageClient-Software, die die Anfrage stellt (Browser, Bot)
If-None-MatchAnfrageBedingte Anfrage mit gespeichertem ETag (fürs Caching)
If-Modified-SinceAnfrageBedingte Anfrage anhand eines Last-Modified-Datums
RangeAnfrageNur einen Teil einer Ressource anfordern (fortsetzbare Downloads)
Content-TypeBeidesMedientyp des Body (z. B. application/json)
Content-LengthBeidesGröße des Body in Bytes
Content-EncodingAntwortAuf den Body angewandte Komprimierung (gzip, br)
Cache-ControlBeidesCaching-Regeln (z. B. no-cache, max-age=3600)
ETagAntwortVersionskennung einer Ressource (ermöglicht 304)
ExpiresAntwortDatum, ab dem die Antwort veraltet ist
Last-ModifiedAntwortWann die Ressource zuletzt geändert wurde
LocationAntwortZiel-URL für eine Weiterleitung (3xx) oder erstellte Ressource (201)
Set-CookieAntwortWeist den Browser an, ein Cookie zu speichern
VaryAntwortWelche Request-Header die zwischengespeicherte Antwort beeinflussen
WWW-AuthenticateAntwortErforderliche Authentifizierungsmethode (mit 401 gesendet)
Access-Control-Allow-OriginAntwortCORS: welche Ursprünge die Antwort lesen dürfen
Access-Control-Allow-MethodsAntwortCORS: erlaubte Methoden für Cross-Origin-Anfragen
Strict-Transport-SecurityAntwortHTTPS für künftige Anfragen erzwingen (HSTS)
Content-Security-PolicyAntwortQuellen von Skripten, Styles, Bildern einschränken (CSP)
X-Frame-OptionsAntwortOb die Seite in einen Frame eingebettet werden darf (Clickjacking)
X-Content-Type-OptionsAntwortnosniff — den Content-Type nicht raten
Retry-AfterAntwortWie lange vor einem erneuten Versuch zu warten ist (mit 429 oder 503)

Verwandte Tools