RUNWEBTOOLS
한국어

HTTP 헤더 레퍼런스

HTTP 헤더는 모든 요청·응답과 함께 전송되는 메타데이터입니다 — 콘텐트 타입, 캐싱 규칙, 인증, 쿠키, 보안 정책을 담습니다. 가장 자주 만나는 헤더들을 요청과 함께 가는지, 응답과 함께 가는지, 아니면 둘 다인지로 표시했습니다. HTTP 상태 코드 레퍼런스와 함께 보면 좋습니다.

업데이트 2026-07-06

헤더구분역할
Accept요청클라이언트가 처리할 수 있는 미디어 타입(예: text/html)
Accept-Encoding요청클라이언트가 지원하는 압축(gzip, br)
Accept-Language요청선호 언어(예: en-US, ko)
Authorization요청자격 증명 — 예: Bearer <token> 또는 Basic <base64>
Cookie요청서버가 이전에 설정한 쿠키
Host요청대상 서버의 도메인 이름(HTTP/1.1에서 필수)
Origin요청요청을 시작한 출처(CORS에서 사용)
Referer요청이 요청으로 연결한 페이지의 URL
User-Agent요청요청을 보내는 클라이언트 소프트웨어(브라우저, 봇)
If-None-Match요청저장된 ETag를 이용한 조건부 요청(캐싱용)
If-Modified-Since요청마지막 수정 날짜 기반 조건부 요청
Range요청리소스의 일부만 요청(이어받기 다운로드)
Content-Type둘 다본문의 미디어 타입(예: application/json)
Content-Length둘 다본문 크기(바이트)
Content-Encoding응답본문에 적용된 압축(gzip, br)
Cache-Control둘 다캐싱 규칙(예: no-cache, max-age=3600)
ETag응답리소스의 버전 식별자(304 응답 가능)
Expires응답이 시점 이후 응답이 만료됨
Last-Modified응답리소스가 마지막으로 변경된 시점
Location응답리다이렉트(3xx) 또는 생성된 리소스(201)의 대상 URL
Set-Cookie응답브라우저에 쿠키를 저장하도록 지시
Vary응답캐시된 응답에 영향을 주는 요청 헤더
WWW-Authenticate응답필요한 인증 방식(401과 함께 전송)
Access-Control-Allow-Origin응답CORS: 어떤 출처가 응답을 읽을 수 있는지
Access-Control-Allow-Methods응답CORS: 교차 출처 요청에 허용된 메서드
Strict-Transport-Security응답이후 요청에 HTTPS 강제(HSTS)
Content-Security-Policy응답스크립트·스타일·이미지 출처 제한(CSP)
X-Frame-Options응답페이지를 프레임에 삽입할 수 있는지(클릭재킹)
X-Content-Type-Options응답nosniff — 콘텐트 타입을 추측하지 않음
Retry-After응답재시도 전 대기 시간(429 또는 503과 함께)

관련 도구