Riferimento header HTTP
Gli header HTTP sono i metadati inviati con ogni richiesta e risposta — trasportano tipi di contenuto, regole di caching, autenticazione, cookie e policy di sicurezza. Ecco quelli che incontrerai più spesso, contrassegnati se viaggiano con la richiesta, la risposta o entrambe. Si abbina bene al nostro riferimento dei codici di stato HTTP.
Aggiornato 2026-07-06
| Header | Tipo | Cosa fa |
|---|---|---|
| Accept | Richiesta | Tipi di media che il client può gestire (es. text/html) |
| Accept-Encoding | Richiesta | Compressione supportata dal client (gzip, br) |
| Accept-Language | Richiesta | Lingue preferite (es. en-US, ko) |
| Authorization | Richiesta | Credenziali — es. Bearer <token> o Basic <base64> |
| Cookie | Richiesta | Cookie impostati in precedenza dal server |
| Host | Richiesta | Nome di dominio del server di destinazione (richiesto in HTTP/1.1) |
| Origin | Richiesta | Origine che ha avviato la richiesta (usata dal CORS) |
| Referer | Richiesta | URL della pagina che ha portato a questa richiesta |
| User-Agent | Richiesta | Software client che fa la richiesta (browser, bot) |
| If-None-Match | Richiesta | Richiesta condizionale con un ETag memorizzato (per il caching) |
| If-Modified-Since | Richiesta | Richiesta condizionale basata su una data di ultima modifica |
| Range | Richiesta | Richiedere solo parte di una risorsa (download riprendibili) |
| Content-Type | Entrambe | Tipo di media del corpo (es. application/json) |
| Content-Length | Entrambe | Dimensione del corpo in byte |
| Content-Encoding | Risposta | Compressione applicata al corpo (gzip, br) |
| Cache-Control | Entrambe | Regole di caching (es. no-cache, max-age=3600) |
| ETag | Risposta | Identificatore di versione di una risorsa (abilita i 304) |
| Expires | Risposta | Data dopo la quale la risposta è obsoleta |
| Last-Modified | Risposta | Quando la risorsa è stata modificata l'ultima volta |
| Location | Risposta | URL di destinazione per un redirect (3xx) o risorsa creata (201) |
| Set-Cookie | Risposta | Istruisce il browser a memorizzare un cookie |
| Vary | Risposta | Quali header di richiesta influenzano la risposta in cache |
| WWW-Authenticate | Risposta | Metodo di autenticazione richiesto (inviato con 401) |
| Access-Control-Allow-Origin | Risposta | CORS: quali origini possono leggere la risposta |
| Access-Control-Allow-Methods | Risposta | CORS: metodi consentiti per le richieste cross-origin |
| Strict-Transport-Security | Risposta | Forzare HTTPS per le richieste future (HSTS) |
| Content-Security-Policy | Risposta | Limitare le fonti di script, stili, immagini (CSP) |
| X-Frame-Options | Risposta | Se la pagina può essere incorporata in un frame (clickjacking) |
| X-Content-Type-Options | Risposta | nosniff — non indovinare il tipo di contenuto |
| Retry-After | Risposta | Quanto attendere prima di riprovare (con 429 o 503) |
Strumenti correlati