HTTP-Header-Referenz
HTTP-Header sind die Metadaten, die mit jeder Anfrage und Antwort gesendet werden — sie tragen Content-Types, Caching-Regeln, Authentifizierung, Cookies und Sicherheitsrichtlinien. Hier die häufigsten, gekennzeichnet, ob sie mit der Anfrage, der Antwort oder beidem reisen. Passt gut zu unserer HTTP-Statuscode-Referenz.
Aktualisiert 2026-07-06
| Header | Typ | Was er tut |
|---|---|---|
| Accept | Anfrage | Medientypen, die der Client verarbeiten kann (z. B. text/html) |
| Accept-Encoding | Anfrage | Komprimierung, die der Client unterstützt (gzip, br) |
| Accept-Language | Anfrage | Bevorzugte Sprachen (z. B. en-US, ko) |
| Authorization | Anfrage | Anmeldedaten — z. B. Bearer <token> oder Basic <base64> |
| Cookie | Anfrage | Zuvor vom Server gesetzte Cookies |
| Host | Anfrage | Domainname des Zielservers (in HTTP/1.1 erforderlich) |
| Origin | Anfrage | Ursprung, der die Anfrage ausgelöst hat (von CORS genutzt) |
| Referer | Anfrage | URL der Seite, die auf diese Anfrage verlinkt hat |
| User-Agent | Anfrage | Client-Software, die die Anfrage stellt (Browser, Bot) |
| If-None-Match | Anfrage | Bedingte Anfrage mit gespeichertem ETag (fürs Caching) |
| If-Modified-Since | Anfrage | Bedingte Anfrage anhand eines Last-Modified-Datums |
| Range | Anfrage | Nur einen Teil einer Ressource anfordern (fortsetzbare Downloads) |
| Content-Type | Beides | Medientyp des Body (z. B. application/json) |
| Content-Length | Beides | Größe des Body in Bytes |
| Content-Encoding | Antwort | Auf den Body angewandte Komprimierung (gzip, br) |
| Cache-Control | Beides | Caching-Regeln (z. B. no-cache, max-age=3600) |
| ETag | Antwort | Versionskennung einer Ressource (ermöglicht 304) |
| Expires | Antwort | Datum, ab dem die Antwort veraltet ist |
| Last-Modified | Antwort | Wann die Ressource zuletzt geändert wurde |
| Location | Antwort | Ziel-URL für eine Weiterleitung (3xx) oder erstellte Ressource (201) |
| Set-Cookie | Antwort | Weist den Browser an, ein Cookie zu speichern |
| Vary | Antwort | Welche Request-Header die zwischengespeicherte Antwort beeinflussen |
| WWW-Authenticate | Antwort | Erforderliche Authentifizierungsmethode (mit 401 gesendet) |
| Access-Control-Allow-Origin | Antwort | CORS: welche Ursprünge die Antwort lesen dürfen |
| Access-Control-Allow-Methods | Antwort | CORS: erlaubte Methoden für Cross-Origin-Anfragen |
| Strict-Transport-Security | Antwort | HTTPS für künftige Anfragen erzwingen (HSTS) |
| Content-Security-Policy | Antwort | Quellen von Skripten, Styles, Bildern einschränken (CSP) |
| X-Frame-Options | Antwort | Ob die Seite in einen Frame eingebettet werden darf (Clickjacking) |
| X-Content-Type-Options | Antwort | nosniff — den Content-Type nicht raten |
| Retry-After | Antwort | Wie lange vor einem erneuten Versuch zu warten ist (mit 429 oder 503) |
Verwandte Tools