RUNWEBTOOLS
Español

Referencia de cabeceras HTTP

Las cabeceras HTTP son los metadatos enviados con cada petición y respuesta — llevan tipos de contenido, reglas de caché, autenticación, cookies y políticas de seguridad. Aquí están las que más encontrarás, marcadas según viajen con la petición, la respuesta o ambas. Combina bien con nuestra referencia de códigos de estado HTTP.

Actualizado 2026-07-06

CabeceraTipoQué hace
AcceptPeticiónTipos de medios que el cliente puede manejar (p. ej. text/html)
Accept-EncodingPeticiónCompresión que el cliente admite (gzip, br)
Accept-LanguagePeticiónIdiomas preferidos (p. ej. en-US, ko)
AuthorizationPeticiónCredenciales — p. ej. Bearer <token> o Basic <base64>
CookiePeticiónCookies establecidas previamente por el servidor
HostPeticiónNombre de dominio del servidor de destino (requerido en HTTP/1.1)
OriginPeticiónOrigen que inició la petición (usado por CORS)
RefererPeticiónURL de la página que enlazó a esta petición
User-AgentPeticiónSoftware cliente que hace la petición (navegador, bot)
If-None-MatchPeticiónPetición condicional usando un ETag almacenado (para caché)
If-Modified-SincePeticiónPetición condicional basada en una fecha de última modificación
RangePeticiónSolicitar solo parte de un recurso (descargas reanudables)
Content-TypeAmbasTipo de medio del cuerpo (p. ej. application/json)
Content-LengthAmbasTamaño del cuerpo en bytes
Content-EncodingRespuestaCompresión aplicada al cuerpo (gzip, br)
Cache-ControlAmbasReglas de caché (p. ej. no-cache, max-age=3600)
ETagRespuestaIdentificador de versión de un recurso (habilita los 304)
ExpiresRespuestaFecha tras la cual la respuesta caduca
Last-ModifiedRespuestaCuándo se modificó el recurso por última vez
LocationRespuestaURL de destino para una redirección (3xx) o recurso creado (201)
Set-CookieRespuestaIndica al navegador que guarde una cookie
VaryRespuestaQué cabeceras de petición afectan a la respuesta en caché
WWW-AuthenticateRespuestaMétodo de autenticación requerido (enviado con 401)
Access-Control-Allow-OriginRespuestaCORS: qué orígenes pueden leer la respuesta
Access-Control-Allow-MethodsRespuestaCORS: métodos permitidos para peticiones de origen cruzado
Strict-Transport-SecurityRespuestaForzar HTTPS en futuras peticiones (HSTS)
Content-Security-PolicyRespuestaRestringir fuentes de scripts, estilos, imágenes (CSP)
X-Frame-OptionsRespuestaSi la página puede incrustarse en un frame (clickjacking)
X-Content-Type-OptionsRespuestanosniff — no adivinar el tipo de contenido
Retry-AfterRespuestaCuánto esperar antes de reintentar (con 429 o 503)

Herramientas relacionadas