Войти
Поля заголовка HTTP являются компонентами раздела заголовка запроса и ответные сообщения в протоколе передачи гипертекста (HTTP). Они определяют рабочие параметры HTTP-транзакции.
Поля заголовка передаются после строки запроса (в случае запроса HTTP-сообщения) или строки ответа (в случае ответного HTTP-сообщения), то есть первая строка сообщения. Поля заголовка представляют собой пары ключ-значение, разделенные двоеточиями, в формате открытого текста строка, оканчивающиеся символом возврата каретки (CR) и перевода строки (LF). последовательность. Конец раздела заголовка обозначается пустой строкой поля, что приводит к передаче двух последовательных пар CR-LF. Раньше длинные строки можно было складывать в несколько строк; строки продолжения обозначаются наличием пробела (SP) или горизонтальной табуляции (HT) в качестве первого символа следующей строки. Это сворачивание теперь не рекомендуется.
Основной набор полей стандартизирован Инженерной группой Интернета (IETF) в RFC 7230, 7231, 7232, 7233, 7234 и 7235. Постоянный реестр полей заголовков и репозиторий предварительных регистраций обслуживаются IANA. Имена дополнительных полей и допустимые значения могут определяться каждым приложением.
Имена полей заголовка нечувствительны к регистру. Это отличается от имен HTTP-методов (GET, POST и т. Д.), Которые чувствительны к регистру.
HTTP / 2 накладывает некоторые ограничения на определенные поля заголовка (см. Ниже).
Нестандартные поля заголовка обычно помечались префиксом X-к имени поля, но это соглашение было объявлено устаревшим в июне 2012 года из-за неудобств, которые оно вызвало, когда нестандартные поля стали стандартными. Предыдущее ограничение на использование Downgraded-было снято в марте 2013 года.
Некоторые поля могут содержать комментарии (например, в User-Agent, Server, Via поля), которые могут игнорироваться программным обеспечением.
Многие значения полей могут содержать пару "ключ-значение" качества (q), разделенных знаком равно, определяя вес для использования в согласование содержимого. Например, браузер может указать, что он принимает информацию на немецком или английском языке, с немецким языком в качестве предпочтительного, установив значение q для deвыше, чем для en, как показано ниже:
Accept-Language: de; q = 1.0, en; q = 0,5
Стандарт не налагает ограничений на размер каждого имени или значения поля заголовка или на количество полей. Однако большинство серверов, клиентов и программного обеспечения прокси накладывают некоторые ограничения по практическим соображениям и соображениям безопасности. Например, сервер Apache 2.3 по умолчанию ограничивает размер каждого поля до 8190 байтов, а в одном запросе может быть не более 100 полей заголовка.
| Имя | Описание | Пример | Статус | Стандарт |
|---|---|---|---|---|
| A-IM | Допустимые манипуляции с экземплярами для запрос. | A-IM: feed | Постоянный | RFC 3229 |
| Принять | Тип (ы) носителя, который является приемлемым для ответа. См. Согласование содержимого. | Accept: text / html | Permanent | RFC 2616, 7231 |
| Accept-Charset | Character допустимые наборы. | Accept-Charset: utf-8 | Permanent | RFC 2616 |
| Accept-Datetime | Допустимая версия во времени. | Accept-Datetime: Thu, 31 May 2007 20:35:00 GMT | Предварительный | RFC 7089 |
| Accept-Encoding | Список допустимых кодировок. См. HTTP-сжатие. | Accept-Encoding: gzip, deflate | Permanent | RFC 2616, 7231 |
| Accept-Language | Список приемлемых человеческих языков для ответа. См. Согласование содержимого. | Accept-Language: en-US | Постоянный | RFC 2616, 7231 |
| Access-Control-Request-Method,. Access-Control-Request-Headers | Инициирует запрос на совместное использование ресурсов между источниками с Origin (ниже). | Access-Control- Метод запроса: GET | Постоянный: стандартный | |
| Авторизация | Учетные данные аутентификации для HTTP-аутентификации. | Авторизация: Базовая QWxhZGRpbjpvcGVuIHNlc2FtZQ == | Постоянная | |
| Cache-Control | Используется для указания директив, которым должны подчиняться все механизмы кэширования в цепочке запрос-ответ. | Cache-Control: no-cache | Постоянный | |
| Connection | Параметры управления для текущего соединения и список полей поэтапного запроса. Не должно использоваться с HTTP / 2. | Соединение: keep-alive | Постоянное | |
| Content-Encoding | Тип кодировки, используемый для данных. См. HTTP-сжатие. | Content-Encoding: gzip | Permanent | |
| Content-Length | Длина тела запроса в октетах (8-битные байты). | Content-Length: 348 | Permanent | |
| Content-MD5 | A Base64 -encoded binary MD5 сумма содержимого тела запроса. | Content- MD5: Q2hlY2sgSW50ZWdyaXR5IQ == | Устаревший | |
| Content-Type | Тип мультимедиа тела запроса (используется с запросами POST и PUT). | Content- Тип: application / x-www-form-urlencoded | Постоянный | |
| Cookie | HTTP cookie, ранее отправленный сервером с помощью Set-Cookie(ниже). | Cookie: $ Version = 1; Skin = new; | Permanent: standard | |
| Date | Дата и время, когда было отправлено сообщение (в формате «HTTP-date», как определено в RFC 7231 Date / Time Formats ). | Дата: Вт, 15 ноября 1994 г., 08:12:31 GMT | Постоянно | |
| Expect | Указывает, что клиенту требуется определенное поведение сервера. | Expect: 100-continue | Постоянно | |
| Перенаправлено | Раскрыть исходную информацию о клиенте, подключающемся к веб-серверу через HTTP-прокси. | Перенаправлено: for = 192.0.2.60; proto = http; by = 203.0.113.43Перенаправлено: для = 192.0.2.43, для = 198.51.100.17 | Постоянно | |
| От | Адрес электронной почты пользователя, отправившего запрос. | От: user @ example.com | Постоянный | |
| Host | Доменное имя сервера (для виртуального хостинга ) и номер TCP-порта, на котором находится сервер. прослушивание. порт номер может быть опущен, если порт является стандартным портом для запрошенной службы. Обязательный, начиная с HTTP / 1.1. Если запрос генерируется ted непосредственно в HTTP / 2, его не следует использовать. | Хост: en.wikipedia.org:8080
| Постоянный | |
| HTTP2-Настройки | Запрос, который обновляет HTTP / 1.1 до HTTP / 2, ДОЛЖЕН содержать ровно одно поле заголовка HTTP2-Setting. Поле заголовка HTTP2-Settings- это поле заголовка для конкретного соединения, которое включает параметры, которые управляют соединением HTTP / 2, предоставляемые в ожидании того, что сервер примет запрос на обновление. | HTTP2-Settings: token64 | Постоянный: стандартный | |
| Если совпадение | Выполнять действие только в том случае, если предоставленный клиентом объект совпадает с таким же объектом на сервере. Это в основном для таких методов, как PUT, чтобы обновлять ресурс только в том случае, если он не был изменен с момента его последнего обновления пользователем. | If-Match: "737060cd8c284d8af7ad3082f209582d" | Постоянно | |
| If-Modified-Since | Позволяет возвращать 304 Not Modified, если содержимое не изменилось. | If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT | Постоянно | |
| If-None-Match | Позволяет возвращать 304 Not Modified, если содержимое не изменилось, см. HTTP ETag. | If-None-Match: "737060cd8c284d8af7ad3082f209582d" | Permanent | |
| If-Range | Если объект не изменился, пришлите мне недостающие части; в противном случае отправьте мне весь новый объект. | If-Range: "737060cd8c284d8af7ad3082f209582d" | Permanent | |
| If-Unmodified-Since | Отправлять ответ только в том случае, если объект не был изменен с момента в определенное время. | If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT | Постоянно | |
| Max-Forwards | Ограничить количество раз, когда сообщение может быть переадресовано через прокси или шлюзы. | Max-Forwards: 10 | Permanent | |
| Origin | Инициирует запрос на совместное использование ресурсов между источниками (запрашивает у сервера Access- Control- * поля ответа). | Источник: http://www.example-social-network.com | Постоянный: стандартный | |
| Pragma | Поля, зависящие от реализации, которые могут имеют различные эффекты в любом месте цепочки запрос-ответ. | Pragma: no-cache | Permanent | |
| Proxy-Authorization | Учетные данные авторизации для подключения к прокси. | Proxy-Authorization: Базовый QWxhZGRpbjpvcGVuIHNlc2FtZQ == | Постоянный | |
| Диапазон | Только запрос часть сущности. Байты нумеруются от 0. См. Обслуживание байтов. | Диапазон: байты = 500-999 | Постоянные | |
| Референт [sic ] | Это адрес предыдущей веб-страницы с которого была сделана ссылка на запрашиваемую в данный момент страницу. (Слово «реферер» было написано с ошибками в RFC, а также в большинстве реализаций до такой степени, что оно стало стандартным использованием и считается правильной терминологией) | Referer: http://en.wikipedia.org/w/ Main_Page | Permanent | |
| TE | Кодировки передачи, которые пользовательский агент готов принять: могут использоваться те же значения, что и для поля заголовка ответа Transfer-Encoding, плюс значение "трейлеров" (связанное с фрагментом " "метод передачи), чтобы уведомить сервер, что он ожидает получить дополнительные поля в трейлере после последнего блока нулевого размера. Только | TE: trailers, deflate | Permanent | |
| Trailer | Значение общего поля трейлера указывает, что данный набор полей заголовка присутствует в трейлере сообщения, закодированного с помощью фрагментированного кодирования передачи. | Трейлер: Max-Forwards | Постоянного | |
| Transfer-Encoding | Форма кодирования используется для безопасной передачи объекта пользователю. В настоящее время определены методы : разделение на фрагменты, сжатие, сжатие, сжатие, сжатие, идентификация. Не должно использоваться с HTTP / 2. | Transfer-Encoding: фрагментировано | Постоянно | |
| User-Agent | Строка пользовательского агента пользовательского агента. | User-Agent: Mozilla / 5.0 (X11; Linux x86_64; rv: 12.0) Gecko / 20100101 Firefox / 12.0 | Постоянно | |
| Обновление | Попросите сервер перейти на другой протокол. Не должно использоваться в HTTP / 2. | Обновление: div class="ht"c, HTTPS / 1.3, IRC / 6.9, RTA / x11, websocket | Постоянно | |
| Через | Информирует сервер о прокси, через которые был отправлен запрос. | Через: 1.0 fred, 1.1 example.com (Apache / 1.1) | Постоянный | |
| Предупреждение | Общее предупреждение о возможных проблемах с телом объекта. | Предупреждение: 199 Разное предупреждение | Постоянное |
| Имя поля | Описание | Пример |
|---|---|---|
| Upgrade-Insecure-Requests | Сообщает серверу, который (предположительно, в середине миграции HTTP ->HTTPS) размещает смешанный контент, что клиент предпочел бы перенаправление на HTTPS и мог бы обрабатывать Content-Security-Policy: upgrade-insecure-requestsНе должно использоваться с HTTP / 2 | Upgrade-Insecure-Requests: 1 |
| X-Requested-With | В основном используется для идентификации Ajax запросов ( большинство фреймворков JavaScript отправляют это поле со значением XMLHttpRequest); также идентифицирует приложения Android с помощью WebView | X-Requested-With: XMLHttpRequest |
| DNT | Запрашивает веб-приложение отключить отслеживание пользователя. Это версия Mozilla поля заголовка X-Do-Not-Track (начиная с Firefox 4.0 Beta 11). Safari и IE9 также поддерживают это поле. 7 марта 2011 г. в IETF был представлен проект предложения. W3C Рабочая группа по защите от отслеживания разрабатывает спецификацию. | DNT: 1(Do Not Track Enabled)
|
| X-Forwarded-For | A стандарт де-факто для определения исходного IP-адреса клиента, подключающегося к веб-серверу через HTTP-прокси или балансировщик нагрузки. Заменено заголовком Forwarded. | X-Forwarded-For: client1, proxy1, proxy2
|
| X-Forwarded-Host | A стандарт де-факто для идентификации исходного хоста, запрошенного клиентом в заголовке HTTP-запроса Host, поскольку имя хоста и / или порт обратного прокси (балансировщика нагрузки) может отличаться от исходного сервера, обрабатывающего запрос. Заменено заголовком Forwarded. | X-Forwarded-Host: en.wikipedia.org:8080
|
| X-Forwarded-Proto | A стандарт де-факто для определения исходного протокола HTTP-запроса, поскольку обратный прокси-сервер (или балансировщик нагрузки) может взаимодействовать с веб-сервером, используя HTTP, даже если запрос к обратному прокси-серверу - HTTPS. Альтернативная форма заголовка (X-ProxyUser-Ip) используется клиентами Google, общающимися с серверами Google. Заменено заголовком Forwarded. | X-Forwarded-Proto: https |
| Front-End-Https | Нестандартное поле заголовка, используемое приложениями Microsoft и балансировщиками нагрузки | Front-End-Https : on |
| X-Http-Method-Override | Запрашивает веб-приложение переопределить метод, указанный в запросе (обычно POST), с помощью метода, указанного в поле заголовка (обычно PUT или DELETE). Это можно использовать, когда пользовательский агент или брандмауэр предотвращает прямую отправку методов PUT или DELETE (обратите внимание, что это либо ошибка в программном компоненте, которую следует исправить, либо преднамеренная конфигурация, и в этом случае ее обход может быть | X-HTTP-Method-Override: DELETE |
| X-ATT-DeviceId | Позволяет упростить синтаксический анализ MakeModel / Firmware, которые обычно находятся в User-Agent Строка устройств ATT | X-Att-Deviceid: GT-P7320 / P7320XXLPG |
| X-Wap-Profile | Ссылки на XML-файл в Интернете с полным описанием и подробностями об устройстве в настоящее время подключение. В примере справа - это XML-файл для ATT Samsung Galaxy S2. | x-wap-profile: http://wap.samsungmobile.com/uaprof/SGH-I777.xml |
| Прокси-сервер -Connection | Реализовано из-за неправильного понимания спецификаций HTTP. Часто возникает из-за ошибок в реализации ранних версий HTTP. Имеет ту же функциональность, что и стандартное поле подключения. Не должно использоваться с HTTP / 2. | Прокси-соединение: keep-alive |
| X-UIDH | На стороне сервера вставка глубокого пакета уникального идентификатора идентификация клиентов Verizon Wireless ; также известный как «постоянный файл cookie» или «супер-файл cookie» | X-UIDH:... |
| X-Csrf-Token | Используется для предотвращения подделки межсайтовых запросов. Альтернативные имена заголовков: X-CSRFTokenи X-XSRF-TOKEN | X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql |
| X-Request-ID, X-Correlation-ID | Коррелирует HTTP-запросы между клиентом и сервером. | X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5 |
| Save-Data | Заголовок подсказки клиента Save-Data, доступный в браузерах Chrome, Opera и Yandex, позволяет разработчикам доставлять более легкие и быстрые приложения для пользователей, которые выбрали режим экономии данных в своем браузере. | Сохранить данные: на |
| Имя поля | Описание | Пример | Статус | Стандартный |
|---|---|---|---|---|
| Access-Control-Allow-Origin,. Access-Control-Allow-Credentials,. Access-Control-Expose-Headers,. Access-Control-Max-Age,. Access-Control-Allow-Methods,. Access-Control-Allow-Headers | Определение веб-сайтов, которые могут участвовать в совместном использовании ресурсов между источниками | Access-Control-Allow- Источник: * | Постоянный: стандартный | |
| Accept-Patch | Определяет, какие форматы документов исправлений поддерживает этот сервер | Accept-Patch: text / example; charset = utf-8 | Permanent | |
| Accept-Ranges | Какие типы диапазонов частичного содержимого этот сервер поддерживает с помощью обслуживания байтов | Accept-Ranges: bytes | Permanent | |
| Age | Возраст объект находился в кэше прокси в секундах | Возраст: 12 | Постоянно | |
| Разрешить | Допустимые методы для указанного ресурса. Используется для метода 405, недопустимый | Разрешить: GET, HEAD | Постоянный | |
| Alt-Svc | Сервер использует заголовок «Alt-Svc» (то есть альтернативные службы), чтобы указать, что к его ресурсам также можно получить доступ из другого сетевого местоположения (хоста или порта) или с использованием другого протокола При использовании HTTP / 2 серверы должны вместо этого отправлять кадр ALTSVC. | Alt-Svc: http / 1.1 = "http2.example.com:8001"; ma = 7200 | Постоянный | |
| Cache-Control | Сообщает всем механизмам кэширования от сервера к клиенту, могут ли они кэшировать этот объект. Он измеряется в секундах | Cache-Control: max-age = 3600 | Permanent | |
| Connection | Параметры управления для текущего соединения и список полей ответа по этапам. Не должно использоваться с HTTP / 2. | Соединение: закрыть | Постоянное | |
| Content-Disposition | Возможность вызвать диалоговое окно «Загрузка файла» для известного типа MIME с двоичным кодом отформатируйте или предложите имя файла для динамического содержимого. Цитаты должны содержать специальные символы. | Content-Disposition: вложение; filename = "fname.ext" | Постоянный | |
| Content-Encoding | Тип кодировки, используемой для данных. См. HTTP-сжатие. | Content-Encoding: gzip | Permanent | |
| Content-Language | Естественный язык или языки целевой аудитории для вложенного контента | Content-Language: da | Постоянный | |
| Content-Length | Длина тела ответа в октетах (8-битных байтах) | Content-Length: 348 | Permanent | |
| Content-Location | Альтернативное расположение для возвращаемых данных | Content-Location: /index.htm | Permanent | |
| Content-MD5 | A Base64 -encoded binary MD5 сумма содержимого ответа | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ == | Устаревший | |
| Content-Range | Куда в полном теле сообщения принадлежит эта часть сообщения | Content-Range: байты 21010-47021 / 47022 | Permanent | |
| Content-Type | MIME-тип этого содержимого | Content-Type: text / html ; charset = utf-8 | Постоянно | |
| Дата | Дата и время отправки сообщения (в формате «HTTP-date», как определено в RFC 7231 ) | Дата: Вт, 15 ноября 1994 г. 08:12:31 GMT | Постоянный | |
| Delta-Base | Определяет тег объекта с дельта-кодированием ответа. | Delta-Base: "abc" | Постоянный | |
| ETag | Идентификатор конкретной версии ресурса, часто дайджест сообщения | ETag: "737060cd8c284d8af7ad3082f209582d" | Постоянный | |
| Истекает | Дает дату / время, после которого ответ считается устаревшим (в формате «HTTP-дата», как определено в RFC 7231 ) | Срок действия: Thu, 01 Dec 1994 16:00:00 GMT | Постоянный: стандартный | |
| IM | Манипуляции с экземпляром, примененные к ответу. | IM: feed | Постоянный | |
| Last-Modified | Дата последнего изменения для запрошенного объекта (в формате «HTTP-date», как определено RFC 7231 ) | Последнее изменение: Вт, 15 ноября 1994 г. 12:45:26 GMT | Постоянный | |
| Ссылка | Используется для выражения типизированной связи с ano другой ресурс, где тип отношения определяется в RFC 5988 | Ссылка:; rel = "alternate" | Постоянное | |
| Расположение | Используется в перенаправлении или при создании нового ресурса. |
| Постоянный | |
| P3P | В этом поле предполагается установить политику P3P в форме P3P: CP = "your_compact_policy". Однако P3P не стал популярным, большинство браузеров никогда полностью не реализовали его, многие веб-сайты устанавливают это поле с поддельным текстом политики, этого было достаточно, чтобы обмануть браузеры существованием политики P3P и предоставить разрешения для сторонних файлов cookie. | P3P: CP = "Это не политика P3P! Подробнее см. Https://en.wikipedia.org/w/Special:CentralAutoLogin/P3P." | Постоянно | |
| Pragma | Поля, зависящие от реализации, которые могут иметь различные эффекты в любом месте цепочки запрос-ответ. | Pragma: no-cache | Permanent | |
| Proxy-Authenticate | Запрос аутентификации для доступа к прокси. | Proxy-Authenticate: Basic | Permanent | |
| Public-Key-Pins | HTTP Public Key Pinning, объявляет хэш аутентичного TLS сертификата веб-сайта | Public-Key- Пины: max-age = 2592000; pin-sha256 = "E9CZ9INDbd + 2eRQozYqqbQ2yXLVKB9 + xcprMF + 44U1g ="; | Постоянно | |
| Retry-After | Если объект временно недоступен, это указывает клиенту повторить попытку позже. Значение может быть указанным периодом времени (в секундах) или датой HTTP. |
| Постоянный | |
| Server | Имя для сервера | Server: Apache / 2.4.1 (Unix) | Permanent | |
| Set-Cookie | Файл cookie HTTP | Set-Cookie: UserID = JohnDoe; Макс-возраст = 3600; Версия = 1 | Постоянный: стандартный | |
| Strict-Transport-Security | Политика HSTS, информирующая HTTP-клиента о том, как долго следует кэшировать политику только HTTPS и применяется ли это к субдоменам. | Strict-Transport-Security : max-age = 16070400; includeSubDomains | Постоянный: стандартный | |
| Трейлер | Значение общего поля трейлера указывает, что данный набор полей заголовка присутствует в трейлере сообщения, закодированного с помощью кодирования передачи по частям. | Трейлер : Max-Forwards | Постоянный | |
| Transfer-Encoding | Форма кодирования, используемая для безопасной передачи объекта пользователю. В настоящее время определены методы : разделение на фрагменты, сжатие, сжатие, сжатие, сжатие, идентификация. Не должно использоваться с HTTP / 2. | Transfer-Encoding: фрагментировано | Постоянно | |
| Tk | Заголовок статуса отслеживания, значение, предлагаемое для отправки в ответ на DNT (do -not-track), возможные значения: "!" - в разработке "?" - динамический "G" - шлюз для нескольких сторон "N" - не отслеживание "T" - отслеживание "C" - отслеживание с согласия "P" - отслеживание только при наличии согласия "D" - без учета DNT "U" - обновлено | Tk:? | Постоянно | |
| Обновление | Попросить клиента перейти на другой протокол. Не должно использоваться в HTTP / 2. | Обновление: div class="ht"c, HTTPS / 1.3, IRC / 6.9, RTA / x11, websocket | Постоянно | |
| Различное | Сообщает нижестоящим прокси, как сопоставьте заголовки будущих запросов, чтобы решить, можно ли использовать кэшированный ответ вместо запроса нового ответа с исходного сервера. |
| Постоянно | |
| Через | Информирует клиента о прокси-серверах, через которые был отправлен ответ. | Через: 1.0 fred, 1.1 example.com (Apache / 1.1) | Постоянно | |
| Предупреждение | Общее предупреждение о возможных проблемах с телом объекта. | Предупреждение: 199 Разное предупреждение | Постоянное | |
| WWW-Authenticate | Указывает схему аутентификации, которую следует использовать для доступа к запрошенному объекту. | WWW-Authenticate: Basic | Permanent | |
| X-Frame-Options | Защита от кликджекинга : deny- без рендеринга внутри кадра, sameorigin- нет отрисовки при несовпадении происхождения, allow-from- разрешить от sp ecified location, allowall- нестандартное, разрешить из любого места | X-Frame-Options: deny | Obsolete |
| Имя поля | Описание | Пример |
|---|---|---|
| Content-Security-Policy,. X-Content-Security-Policy,. X-WebKit-CSP | Определение политики безопасности контента. | X-WebKit-CSP: default-src 'self' |
| Refresh | Используется при перенаправлении или при создании нового ресурса. Это обновление перенаправляется через 5 секунд. Расширение заголовка, представленное Netscape и поддерживаемое большинством веб-браузеров. | Обновить: 5; url = http: //www.w3.org/pub/WWW/People.html |
| Status | Поле заголовка CGI, определяющее статус HTTP-ответа. В обычных ответах HTTP вместо этого используется отдельная «Строка состояния», определенная в RFC 7230. | Статус: 200 OK |
| Timing-Allow-Origin | The Timing-Allow-Origin Заголовок ответауказывает источники, которым разрешено видеть значения атрибутов, извлеченных с помощью функций Resource Timing API, которые в противном случае были бы сообщены как нулевые из-за ограничений на разные источники. | Timing-Allow -Origin: *
|
| X-Content-Duration | Укажите продолжительность аудио или видео в секундах; поддерживается только браузерами Gecko | X-Content-Duration: 42.666 |
| X-Content-Type-Options | Единственное определенное значение, "nosniff", не позволяет Internet Explorer Обнюхивание MIME ответа от объявленного типа содержимого. Это также относится к Google Chrome при загрузке расширений. | X-Content-Type-Options: nosniff |
| X-Powered-By | Определяет технологию (например, ASP. NET, PHP, JBoss), поддерживающих веб-приложение (сведения о версии часто находятся в X-Runtime, X-Versionили X-AspNet-Version) | X- Powered-By: PHP / 5.4.0 |
| X-Request-ID,. X-Correlation-ID | Коррелирует HTTP-запросы между клиентом и сервером. | X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5 |
| X-UA-Compatible | Рекомендует предпочтительный механизм рендеринга (часто режим обратной совместимости) для отображения содержимого. Также используется для активации Chrome Frame в Internet Explorer. | X-UA-Compatible: IE = EmulateIE7. X-UA-Compatible: IE = edge. X-UA-Compatible: Chrome = 1 |
| X- XSS-Protection | Фильтр межсайтового скриптинга (XSS) | X-XSS-Protection: 1; режим = блок |
Если веб-сервер отвечает Cache-Contro l: no-cache, тогда веб-браузер или другая система кэширования (промежуточные прокси) не должны использовать ответ для удовлетворения последующих запросов без предварительной проверки с исходным сервером (этот процесс называется проверкой). Это поле заголовка является частью HTTP версии 1.1 и игнорируется некоторыми кешами и браузерами. Это можно смоделировать, установив в поле заголовка HTTP версии 1.0 Expiresзначение времени, предшествующее времени ответа. Обратите внимание, что no-cache не сообщает браузеру или прокси-серверам, следует ли кэшировать контент. Он просто сообщает браузеру и прокси-серверам проверять содержимое кеша на сервере перед его использованием (это делается с помощью атрибутов If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match, упомянутых выше). Таким образом, отправка значения без кеширования указывает браузеру или прокси-серверу не использовать содержимое кеша только на основании «критериев актуальности» содержимого кеша. Другой распространенный способ предотвратить показ старого контента пользователю без проверки - это Cache-Control: max-age = 0. Это указывает пользовательскому агенту, что содержимое устарело и перед использованием его следует проверить.
Поле заголовка Cache-Control: no-storeпредназначено для указания приложению браузера сделать все возможное, чтобы не записывать его на диск (т.е. не кэшировать).
Запрос о том, что ресурс не должен кэшироваться, не гарантирует, что он не будет записан на диск. В частности, определение HTTP / 1.1 проводит различие между хранилищами истории и кешами. Если пользователь возвращается на предыдущую страницу, браузер все равно может показывать вам страницу, которая была сохранена на диске в хранилище истории. Это правильное поведение согласно спецификации. Многие пользовательские агенты показывают различное поведение при загрузке страниц из хранилища истории или кеша в зависимости от того, какой протокол используется - HTTP или HTTPS.
Поле заголовка Cache-Control: no-cacheHTTP / 1.1 также предназначено для использования в запросах, сделанных клиентом. Это средство, с помощью которого браузер сообщает серверу и любым промежуточным кэшам, что ему нужна свежая версия ресурса. Поле заголовка Pragma: no-cache, определенное в спецификации HTTP / 1.0, имеет ту же цель. Однако он определен только для заголовка запроса. Его значение в заголовке ответа не указывается. Поведение Pragma: no-cacheв ответе зависит от реализации. Хотя некоторые пользовательские агенты обращают внимание на это поле в ответах, HTTP / 1.1 RFC специально предостерегает от использования такого поведения.
