RUNWEBTOOLS
Português

Referência de cabeçalhos HTTP

Cabeçalhos HTTP são os metadados enviados com cada requisição e resposta — carregam tipos de conteúdo, regras de cache, autenticação, cookies e políticas de segurança. Aqui estão os que você mais encontrará, marcados conforme viajem com a requisição, a resposta ou ambas. Combina bem com nossa referência de códigos de status HTTP.

Atualizado 2026-07-06

CabeçalhoTipoO que faz
AcceptRequisiçãoTipos de mídia que o cliente consegue tratar (ex.: text/html)
Accept-EncodingRequisiçãoCompressão que o cliente suporta (gzip, br)
Accept-LanguageRequisiçãoIdiomas preferidos (ex.: en-US, ko)
AuthorizationRequisiçãoCredenciais — ex.: Bearer <token> ou Basic <base64>
CookieRequisiçãoCookies previamente definidos pelo servidor
HostRequisiçãoNome de domínio do servidor de destino (obrigatório em HTTP/1.1)
OriginRequisiçãoOrigem que iniciou a requisição (usada pelo CORS)
RefererRequisiçãoURL da página que levou a esta requisição
User-AgentRequisiçãoSoftware cliente que faz a requisição (navegador, bot)
If-None-MatchRequisiçãoRequisição condicional usando um ETag armazenado (para cache)
If-Modified-SinceRequisiçãoRequisição condicional com base numa data de última modificação
RangeRequisiçãoSolicitar apenas parte de um recurso (downloads retomáveis)
Content-TypeAmbosTipo de mídia do corpo (ex.: application/json)
Content-LengthAmbosTamanho do corpo em bytes
Content-EncodingRespostaCompressão aplicada ao corpo (gzip, br)
Cache-ControlAmbosRegras de cache (ex.: no-cache, max-age=3600)
ETagRespostaIdentificador de versão de um recurso (habilita os 304)
ExpiresRespostaData após a qual a resposta fica obsoleta
Last-ModifiedRespostaQuando o recurso foi alterado pela última vez
LocationRespostaURL de destino para um redirecionamento (3xx) ou recurso criado (201)
Set-CookieRespostaInstrui o navegador a armazenar um cookie
VaryRespostaQuais cabeçalhos de requisição afetam a resposta em cache
WWW-AuthenticateRespostaMétodo de autenticação exigido (enviado com 401)
Access-Control-Allow-OriginRespostaCORS: quais origens podem ler a resposta
Access-Control-Allow-MethodsRespostaCORS: métodos permitidos para requisições de origem cruzada
Strict-Transport-SecurityRespostaForçar HTTPS para requisições futuras (HSTS)
Content-Security-PolicyRespostaRestringir fontes de scripts, estilos, imagens (CSP)
X-Frame-OptionsRespostaSe a página pode ser incorporada num frame (clickjacking)
X-Content-Type-OptionsRespostanosniff — não adivinhar o tipo de conteúdo
Retry-AfterRespostaQuanto esperar antes de tentar de novo (com 429 ou 503)

Ferramentas relacionadas