Referência de cabeçalhos HTTP
Cabeçalhos HTTP são os metadados enviados com cada requisição e resposta — carregam tipos de conteúdo, regras de cache, autenticação, cookies e políticas de segurança. Aqui estão os que você mais encontrará, marcados conforme viajem com a requisição, a resposta ou ambas. Combina bem com nossa referência de códigos de status HTTP.
Atualizado 2026-07-06
| Cabeçalho | Tipo | O que faz |
|---|---|---|
| Accept | Requisição | Tipos de mídia que o cliente consegue tratar (ex.: text/html) |
| Accept-Encoding | Requisição | Compressão que o cliente suporta (gzip, br) |
| Accept-Language | Requisição | Idiomas preferidos (ex.: en-US, ko) |
| Authorization | Requisição | Credenciais — ex.: Bearer <token> ou Basic <base64> |
| Cookie | Requisição | Cookies previamente definidos pelo servidor |
| Host | Requisição | Nome de domínio do servidor de destino (obrigatório em HTTP/1.1) |
| Origin | Requisição | Origem que iniciou a requisição (usada pelo CORS) |
| Referer | Requisição | URL da página que levou a esta requisição |
| User-Agent | Requisição | Software cliente que faz a requisição (navegador, bot) |
| If-None-Match | Requisição | Requisição condicional usando um ETag armazenado (para cache) |
| If-Modified-Since | Requisição | Requisição condicional com base numa data de última modificação |
| Range | Requisição | Solicitar apenas parte de um recurso (downloads retomáveis) |
| Content-Type | Ambos | Tipo de mídia do corpo (ex.: application/json) |
| Content-Length | Ambos | Tamanho do corpo em bytes |
| Content-Encoding | Resposta | Compressão aplicada ao corpo (gzip, br) |
| Cache-Control | Ambos | Regras de cache (ex.: no-cache, max-age=3600) |
| ETag | Resposta | Identificador de versão de um recurso (habilita os 304) |
| Expires | Resposta | Data após a qual a resposta fica obsoleta |
| Last-Modified | Resposta | Quando o recurso foi alterado pela última vez |
| Location | Resposta | URL de destino para um redirecionamento (3xx) ou recurso criado (201) |
| Set-Cookie | Resposta | Instrui o navegador a armazenar um cookie |
| Vary | Resposta | Quais cabeçalhos de requisição afetam a resposta em cache |
| WWW-Authenticate | Resposta | Método de autenticação exigido (enviado com 401) |
| Access-Control-Allow-Origin | Resposta | CORS: quais origens podem ler a resposta |
| Access-Control-Allow-Methods | Resposta | CORS: métodos permitidos para requisições de origem cruzada |
| Strict-Transport-Security | Resposta | Forçar HTTPS para requisições futuras (HSTS) |
| Content-Security-Policy | Resposta | Restringir fontes de scripts, estilos, imagens (CSP) |
| X-Frame-Options | Resposta | Se a página pode ser incorporada num frame (clickjacking) |
| X-Content-Type-Options | Resposta | nosniff — não adivinhar o tipo de conteúdo |
| Retry-After | Resposta | Quanto esperar antes de tentar de novo (com 429 ou 503) |
Ferramentas relacionadas