HTTP-header-referentie
HTTP-headers zijn de metadata die met elk verzoek en antwoord worden verstuurd — ze dragen content-types, cacheregels, authenticatie, cookies en beveiligingsbeleid. Hier de headers die je het vaakst tegenkomt, gemarkeerd of ze met het verzoek, het antwoord of beide meereizen. Past goed bij onze HTTP-statuscodes-referentie.
Bijgewerkt 2026-07-06
| Header | Type | Wat het doet |
|---|---|---|
| Accept | Verzoek | Mediatypen die de client aankan (bijv. text/html) |
| Accept-Encoding | Verzoek | Compressie die de client ondersteunt (gzip, br) |
| Accept-Language | Verzoek | Voorkeurstalen (bijv. en-US, ko) |
| Authorization | Verzoek | Inloggegevens — bijv. Bearer <token> of Basic <base64> |
| Cookie | Verzoek | Cookies die eerder door de server zijn gezet |
| Host | Verzoek | Domeinnaam van de doelserver (vereist in HTTP/1.1) |
| Origin | Verzoek | Origin die het verzoek initieerde (gebruikt door CORS) |
| Referer | Verzoek | URL van de pagina die naar dit verzoek linkte |
| User-Agent | Verzoek | Clientsoftware die het verzoek doet (browser, bot) |
| If-None-Match | Verzoek | Voorwaardelijk verzoek met een opgeslagen ETag (voor caching) |
| If-Modified-Since | Verzoek | Voorwaardelijk verzoek op basis van een last-modified-datum |
| Range | Verzoek | Slechts een deel van een resource opvragen (hervatbare downloads) |
| Content-Type | Beide | Mediatype van de body (bijv. application/json) |
| Content-Length | Beide | Grootte van de body in bytes |
| Content-Encoding | Antwoord | Compressie toegepast op de body (gzip, br) |
| Cache-Control | Beide | Cacheregels (bijv. no-cache, max-age=3600) |
| ETag | Antwoord | Versie-identificatie van een resource (maakt 304's mogelijk) |
| Expires | Antwoord | Datum waarna het antwoord verouderd is |
| Last-Modified | Antwoord | Wanneer de resource voor het laatst is gewijzigd |
| Location | Antwoord | Doel-URL voor een omleiding (3xx) of aangemaakte resource (201) |
| Set-Cookie | Antwoord | Instrueert de browser een cookie op te slaan |
| Vary | Antwoord | Welke request-headers het gecachte antwoord beïnvloeden |
| WWW-Authenticate | Antwoord | Vereiste authenticatiemethode (verstuurd met 401) |
| Access-Control-Allow-Origin | Antwoord | CORS: welke origins het antwoord mogen lezen |
| Access-Control-Allow-Methods | Antwoord | CORS: toegestane methoden voor cross-origin-verzoeken |
| Strict-Transport-Security | Antwoord | HTTPS afdwingen voor toekomstige verzoeken (HSTS) |
| Content-Security-Policy | Antwoord | Bronnen van scripts, stijlen, afbeeldingen beperken (CSP) |
| X-Frame-Options | Antwoord | Of de pagina in een frame mag worden ingesloten (clickjacking) |
| X-Content-Type-Options | Antwoord | nosniff — het content-type niet raden |
| Retry-After | Antwoord | Hoe lang te wachten voor een nieuwe poging (met 429 of 503) |
Gerelateerde tools