RUNWEBTOOLS
Français

Référence des en-têtes HTTP

Les en-têtes HTTP sont les métadonnées envoyées avec chaque requête et réponse — ils portent les types de contenu, les règles de cache, l'authentification, les cookies et les politiques de sécurité. Voici ceux que vous croiserez le plus, marqués selon qu'ils voyagent avec la requête, la réponse ou les deux. Se marie bien avec notre référence des codes de statut HTTP.

Mis à jour 2026-07-06

En-têteTypeCe qu'il fait
AcceptRequêteTypes de médias que le client peut gérer (ex. text/html)
Accept-EncodingRequêteCompression que le client prend en charge (gzip, br)
Accept-LanguageRequêteLangues préférées (ex. en-US, ko)
AuthorizationRequêteIdentifiants — ex. Bearer <token> ou Basic <base64>
CookieRequêteCookies précédemment définis par le serveur
HostRequêteNom de domaine du serveur cible (requis en HTTP/1.1)
OriginRequêteOrigine qui a initié la requête (utilisée par CORS)
RefererRequêteURL de la page qui a mené à cette requête
User-AgentRequêteLogiciel client qui fait la requête (navigateur, bot)
If-None-MatchRequêteRequête conditionnelle utilisant un ETag stocké (pour le cache)
If-Modified-SinceRequêteRequête conditionnelle basée sur une date de dernière modification
RangeRequêteNe demander qu'une partie d'une ressource (téléchargements reprenables)
Content-TypeLes deuxType de média du corps (ex. application/json)
Content-LengthLes deuxTaille du corps en octets
Content-EncodingRéponseCompression appliquée au corps (gzip, br)
Cache-ControlLes deuxRègles de cache (ex. no-cache, max-age=3600)
ETagRéponseIdentifiant de version d'une ressource (active les 304)
ExpiresRéponseDate après laquelle la réponse est périmée
Last-ModifiedRéponseQuand la ressource a été modifiée pour la dernière fois
LocationRéponseURL cible d'une redirection (3xx) ou ressource créée (201)
Set-CookieRéponseDemande au navigateur de stocker un cookie
VaryRéponseQuels en-têtes de requête affectent la réponse en cache
WWW-AuthenticateRéponseMéthode d'authentification requise (envoyée avec 401)
Access-Control-Allow-OriginRéponseCORS : quelles origines peuvent lire la réponse
Access-Control-Allow-MethodsRéponseCORS : méthodes autorisées pour les requêtes cross-origin
Strict-Transport-SecurityRéponseForcer HTTPS pour les requêtes futures (HSTS)
Content-Security-PolicyRéponseRestreindre les sources de scripts, styles, images (CSP)
X-Frame-OptionsRéponseSi la page peut être intégrée dans un cadre (clickjacking)
X-Content-Type-OptionsRéponsenosniff — ne pas deviner le type de contenu
Retry-AfterRéponseCombien de temps attendre avant de réessayer (avec 429 ou 503)

Outils associés