RUNWEBTOOLS
Italiano

Riferimento header HTTP

Gli header HTTP sono i metadati inviati con ogni richiesta e risposta — trasportano tipi di contenuto, regole di caching, autenticazione, cookie e policy di sicurezza. Ecco quelli che incontrerai più spesso, contrassegnati se viaggiano con la richiesta, la risposta o entrambe. Si abbina bene al nostro riferimento dei codici di stato HTTP.

Aggiornato 2026-07-06

HeaderTipoCosa fa
AcceptRichiestaTipi di media che il client può gestire (es. text/html)
Accept-EncodingRichiestaCompressione supportata dal client (gzip, br)
Accept-LanguageRichiestaLingue preferite (es. en-US, ko)
AuthorizationRichiestaCredenziali — es. Bearer <token> o Basic <base64>
CookieRichiestaCookie impostati in precedenza dal server
HostRichiestaNome di dominio del server di destinazione (richiesto in HTTP/1.1)
OriginRichiestaOrigine che ha avviato la richiesta (usata dal CORS)
RefererRichiestaURL della pagina che ha portato a questa richiesta
User-AgentRichiestaSoftware client che fa la richiesta (browser, bot)
If-None-MatchRichiestaRichiesta condizionale con un ETag memorizzato (per il caching)
If-Modified-SinceRichiestaRichiesta condizionale basata su una data di ultima modifica
RangeRichiestaRichiedere solo parte di una risorsa (download riprendibili)
Content-TypeEntrambeTipo di media del corpo (es. application/json)
Content-LengthEntrambeDimensione del corpo in byte
Content-EncodingRispostaCompressione applicata al corpo (gzip, br)
Cache-ControlEntrambeRegole di caching (es. no-cache, max-age=3600)
ETagRispostaIdentificatore di versione di una risorsa (abilita i 304)
ExpiresRispostaData dopo la quale la risposta è obsoleta
Last-ModifiedRispostaQuando la risorsa è stata modificata l'ultima volta
LocationRispostaURL di destinazione per un redirect (3xx) o risorsa creata (201)
Set-CookieRispostaIstruisce il browser a memorizzare un cookie
VaryRispostaQuali header di richiesta influenzano la risposta in cache
WWW-AuthenticateRispostaMetodo di autenticazione richiesto (inviato con 401)
Access-Control-Allow-OriginRispostaCORS: quali origini possono leggere la risposta
Access-Control-Allow-MethodsRispostaCORS: metodi consentiti per le richieste cross-origin
Strict-Transport-SecurityRispostaForzare HTTPS per le richieste future (HSTS)
Content-Security-PolicyRispostaLimitare le fonti di script, stili, immagini (CSP)
X-Frame-OptionsRispostaSe la pagina può essere incorporata in un frame (clickjacking)
X-Content-Type-OptionsRispostanosniff — non indovinare il tipo di contenuto
Retry-AfterRispostaQuanto attendere prima di riprovare (con 429 o 503)

Strumenti correlati