HTTP Header
Hier werden die einzelnen Felder aufgelistet die ein Webserver im Antwort-Header senden kann.
Headerfeld | Beschreibung | Beispiel |
---|---|---|
Accept-Ranges | Welche Einheiten für Range-Angaben der Server akzeptiert. | Accept-Ranges: bytes |
Age | Wie lange das Objekt im Proxy-Cache gelegen hat. | Age: 12 |
Allow | Erlaubte Aktionen für eine bestimmte Ressource. Muss u. a. mit einem 405 Method Not Allowed gesendet werden | Allow: GET, HEAD |
Cache-Control | Teilt allen Caching-Mechanismen entlang der Abrufkette (z. B. Proxys) mit, ob und wie lange das Objekt gespeichert werden darf (in sec) | Cache-Control: max-age=3600 |
Connection | Vom Webserver bevorzugte Verbindungsarten | Connection: close |
Content-Disposition | Mit diesem nicht standardisierten und als gefährlich eingestuften Feld kann der Server für bestimmte MIME-Typen Downloadfenster erzeugen und einen Dateinamen vorschlagen. | Content-Disposition: attachment; filename=fname.ext |
Content-Encoding | Codierung des Inhalts | Content-Encoding: gzip |
Content-Language | Die Sprache, in der die Datei vorliegt (nur sinnvoll bei Content-Negotiation). Wird gesendet, falls der Server mittels Content Negotiation entweder eine Sprache erkannt und ausliefert oder wenn der Server anhand der Endung eine Sprache erkennt. | Content-Language: de |
Content-Length | Länge des Body in Bytes | Content-Length: 512 |
Content-Location | Alternativer Name/Speicherplatz für das angeforderte Element. Wird mittels CN beispielsweise „foo.html“ angefordert, und der Server schickt aufgrund des Accept-language-Felds die deutsche Version, die eigentlich unter foo.html.de liegt, zurück, so wird in Content-Location der Name der Originaldatei geschrieben | Content-Location: /foo.html.de |
Content-MD5 | Die Base64-codierte MD5-Checksumme des Body | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== |
Content-Range | Welchen Bereich des Gesamtbodys der gesendete Inhalt abdeckt | Content-Range: bytes 21010-47021/47022 |
Content-Security-Policy | Sicherheitskonzept, um Cross-Site-Scripting (XSS) and ähnliche Angriffe abzuwehren. | Content-Security-Policy: default-src 'self'; frame-src 'none'; object-src 'none' |
Content-Type | Der MIME-Typ der angeforderten Datei. Er kann nicht mit einer Charset Angabe im HTML header überschrieben werden. | Content-Type: text/html; charset=utf-8 |
Date | Zeitpunkt des Absendens | Date: Tue, 21 Jan 2014 10:04:21 GMT |
ETag | Eine bestimmte Version einer Datei, oft als Message Digest realisiert | ETag: "737060cd8c284d8af7ad3082f209582d" |
Expires | Ab wann die Datei als veraltet angesehen werden kann. | Expires: Tue, 21 Jan 2014 10:04:21 GMT |
Last-Modified | Zeitpunkt der letzten Änderung an der Datei. | Last-Modified: Tue, 21 Jan 2014 10:04:21 GMT |
Link | Wird benutzt, um dem Client „verwandte“ Dateien oder Ressourcen mitzuteilen, z. B. einen RSS-Feed, einen Favicon, Copyright-Lizenzen etc. Dieses Header-Feld ist äquivalent zum link-Feld in (X)HTML. | Link: http://example.con/rss.xml; rel="alternate" |
Location | Wird oft benutzt, um Clients weiterzuleiten (mit einem 3xx-Code) | Location: http://www.w3.org/pub/WWW/People.html |
P3P | Dieses Feld wird genutzt, um eine P3P-Datenschutz-Policy wie folgt mitzuteilen:P3P:CP="your_compact_policy". P3P setzte sich nicht richtig durch, wird jedoch von einigen Browsern und Webseiten genutzt, um z. B. Cookie-Richtlinien durchzusetzen oder zu überprüfen. | P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info." |
Pragma | Implementierungs-spezifische Optionen, die mehrere Stationen in der Request-Response-Kette beeinflussen können. | Pragma: no-cache |
Proxy-Authenticat | Anweisung, ob und wie der Client sich beim Proxy zu authentifizieren hat. | Proxy-Authenticate: Basic |
Refresh | Refresh wird genutzt, um nach einer bestimmten Zahl von Sekunden weiterzuleiten oder die Seite zu aktualisieren. Dieses Headerfeld ist proprietär und kommt von Netscape, wird aber von den meisten Browsern unterstützt. | Refresh: 5; url=http://www.w3.org/pub/WWW/People.html |
Retry-After | Falls eine Ressource zeitweise nicht verfügbar ist, so teilt der Server dem Client mit diesem Feld mit, wann sich ein neuer Versuch lohnt. | Retry-After: 120 |
Server | Serverkennung (so wie User-Agent für den Client ist, ist Server für die Serversoftware) | Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) |
Set-Cookie | Setzt ein Cookie beim Client. | Set-Cookie: UserID=FooBar; Max-Age=3600; Version=1 |
Trailer | Das Trailer-Feld enthält die Namen der Headerfelder, die im Trailer der Antwort (bei Chunked-Encoding) enthalten sind. Eine Nachricht in Chunked-Encoding ist aufgeteilt in den Header (Kopf), den Rumpf (Body) und den Trailer, wobei der Rumpf aus Effizienzgründen in Teile (Chunks) aufgeteilt sein kann. Der Trailer kann dann (je nach Wert des TE-Felders der Anfrage) Header-Informationen beinhalten, deren Vorabberechnung der Effizienzsteigerung zuwiderläuft. | Trailer: Max-Forwards |
Transfer-Encoding | Die Methode, die genutzt wird, den Inhalt sicher zum Nutzer zu bringen. Zurzeit sind folgende Methoden definiert: chunked (aufgeteilt), compress (komprimiert), deflate (komprimiert), gzip (komprimiert), identity. | Transfer-Encoding: chunked |
Vary | Zeigt Downstream-Proxys, wie sie anhand der Headerfelder zukünftige Anfragen behandeln sollen, also ob die gecachte Antwort genutzt werden kann oder eine neue Anfrage gestellt werden soll. | Vary: * |
Via | Informiert den Client, über welche Proxys die Antwort gesendet wurde. | Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1) |
Warning | Eine allgemeine Warnung vor Problemen mit dem Body. | Warning: 199 Miscellaneous warning |
WWW-Authenticate | Definiert die Authentifikationsmethode, die genutzt werden soll, um eine bestimmte Datei herunterzuladen. | WWW-Authenticate: Basic |
X-Frame-Options | Clickjacking-Schutz: „deny“ – kein Rendering in einem Frame; „sameorigin“ – Nur dann kein Rendering, falls die Herkunft falsch ist. | X-Frame-Options: deny |
X-XSS-Protection | Cross-Site-Scripting (XSS) filter | X-XSS-Protection: 1; mode=block |
X-Content-Type-Options | Der einzige definierte Wert "NOSNIFF", verhindert im Internet Explorer MIME-Sniffing. | X-Content-Type-Options: nosniff |
X-Powered-By | Gibt die verwendete Technologie an die zum aufbauen der Seite benutzt wurde. | X-Powered-By: PHP/5.3.8 |
X-UA-Compatible | Empfiehlt die empfohlene Render Engine (oft ein Abwärts kompatibler Modus) um den Inhalt anzuzeigen. Auch genutzt um den Chrome Frame im Internet Explorer zu aktivieren. | X-UA-Compatible: IE=EmulateIE7 |
X-Robots-Tag | Setzt für Webcrawler fest, welche Inhalte indexiert werden dürfen. | X-Robots-Tag: googlebot: nofollow |