Référence des en-têtes HTTP
Les en-têtes HTTP sont les métadonnées envoyées avec chaque requête et réponse — ils portent les types de contenu, les règles de cache, l'authentification, les cookies et les politiques de sécurité. Voici ceux que vous croiserez le plus, marqués selon qu'ils voyagent avec la requête, la réponse ou les deux. Se marie bien avec notre référence des codes de statut HTTP.
Mis à jour 2026-07-06
| En-tête | Type | Ce qu'il fait |
|---|---|---|
| Accept | Requête | Types de médias que le client peut gérer (ex. text/html) |
| Accept-Encoding | Requête | Compression que le client prend en charge (gzip, br) |
| Accept-Language | Requête | Langues préférées (ex. en-US, ko) |
| Authorization | Requête | Identifiants — ex. Bearer <token> ou Basic <base64> |
| Cookie | Requête | Cookies précédemment définis par le serveur |
| Host | Requête | Nom de domaine du serveur cible (requis en HTTP/1.1) |
| Origin | Requête | Origine qui a initié la requête (utilisée par CORS) |
| Referer | Requête | URL de la page qui a mené à cette requête |
| User-Agent | Requête | Logiciel client qui fait la requête (navigateur, bot) |
| If-None-Match | Requête | Requête conditionnelle utilisant un ETag stocké (pour le cache) |
| If-Modified-Since | Requête | Requête conditionnelle basée sur une date de dernière modification |
| Range | Requête | Ne demander qu'une partie d'une ressource (téléchargements reprenables) |
| Content-Type | Les deux | Type de média du corps (ex. application/json) |
| Content-Length | Les deux | Taille du corps en octets |
| Content-Encoding | Réponse | Compression appliquée au corps (gzip, br) |
| Cache-Control | Les deux | Règles de cache (ex. no-cache, max-age=3600) |
| ETag | Réponse | Identifiant de version d'une ressource (active les 304) |
| Expires | Réponse | Date après laquelle la réponse est périmée |
| Last-Modified | Réponse | Quand la ressource a été modifiée pour la dernière fois |
| Location | Réponse | URL cible d'une redirection (3xx) ou ressource créée (201) |
| Set-Cookie | Réponse | Demande au navigateur de stocker un cookie |
| Vary | Réponse | Quels en-têtes de requête affectent la réponse en cache |
| WWW-Authenticate | Réponse | Méthode d'authentification requise (envoyée avec 401) |
| Access-Control-Allow-Origin | Réponse | CORS : quelles origines peuvent lire la réponse |
| Access-Control-Allow-Methods | Réponse | CORS : méthodes autorisées pour les requêtes cross-origin |
| Strict-Transport-Security | Réponse | Forcer HTTPS pour les requêtes futures (HSTS) |
| Content-Security-Policy | Réponse | Restreindre les sources de scripts, styles, images (CSP) |
| X-Frame-Options | Réponse | Si la page peut être intégrée dans un cadre (clickjacking) |
| X-Content-Type-Options | Réponse | nosniff — ne pas deviner le type de contenu |
| Retry-After | Réponse | Combien de temps attendre avant de réessayer (avec 429 ou 503) |
Outils associés