Referencia de cabeceras HTTP
Las cabeceras HTTP son los metadatos enviados con cada petición y respuesta — llevan tipos de contenido, reglas de caché, autenticación, cookies y políticas de seguridad. Aquí están las que más encontrarás, marcadas según viajen con la petición, la respuesta o ambas. Combina bien con nuestra referencia de códigos de estado HTTP.
Actualizado 2026-07-06
| Cabecera | Tipo | Qué hace |
|---|---|---|
| Accept | Petición | Tipos de medios que el cliente puede manejar (p. ej. text/html) |
| Accept-Encoding | Petición | Compresión que el cliente admite (gzip, br) |
| Accept-Language | Petición | Idiomas preferidos (p. ej. en-US, ko) |
| Authorization | Petición | Credenciales — p. ej. Bearer <token> o Basic <base64> |
| Cookie | Petición | Cookies establecidas previamente por el servidor |
| Host | Petición | Nombre de dominio del servidor de destino (requerido en HTTP/1.1) |
| Origin | Petición | Origen que inició la petición (usado por CORS) |
| Referer | Petición | URL de la página que enlazó a esta petición |
| User-Agent | Petición | Software cliente que hace la petición (navegador, bot) |
| If-None-Match | Petición | Petición condicional usando un ETag almacenado (para caché) |
| If-Modified-Since | Petición | Petición condicional basada en una fecha de última modificación |
| Range | Petición | Solicitar solo parte de un recurso (descargas reanudables) |
| Content-Type | Ambas | Tipo de medio del cuerpo (p. ej. application/json) |
| Content-Length | Ambas | Tamaño del cuerpo en bytes |
| Content-Encoding | Respuesta | Compresión aplicada al cuerpo (gzip, br) |
| Cache-Control | Ambas | Reglas de caché (p. ej. no-cache, max-age=3600) |
| ETag | Respuesta | Identificador de versión de un recurso (habilita los 304) |
| Expires | Respuesta | Fecha tras la cual la respuesta caduca |
| Last-Modified | Respuesta | Cuándo se modificó el recurso por última vez |
| Location | Respuesta | URL de destino para una redirección (3xx) o recurso creado (201) |
| Set-Cookie | Respuesta | Indica al navegador que guarde una cookie |
| Vary | Respuesta | Qué cabeceras de petición afectan a la respuesta en caché |
| WWW-Authenticate | Respuesta | Método de autenticación requerido (enviado con 401) |
| Access-Control-Allow-Origin | Respuesta | CORS: qué orígenes pueden leer la respuesta |
| Access-Control-Allow-Methods | Respuesta | CORS: métodos permitidos para peticiones de origen cruzado |
| Strict-Transport-Security | Respuesta | Forzar HTTPS en futuras peticiones (HSTS) |
| Content-Security-Policy | Respuesta | Restringir fuentes de scripts, estilos, imágenes (CSP) |
| X-Frame-Options | Respuesta | Si la página puede incrustarse en un frame (clickjacking) |
| X-Content-Type-Options | Respuesta | nosniff — no adivinar el tipo de contenido |
| Retry-After | Respuesta | Cuánto esperar antes de reintentar (con 429 o 503) |
Herramientas relacionadas