tas2580
Blog über Webentwicklung

HTTP Header

Hier werden die einzelnen Felder aufgelistet die ein Webserver im Antwort-Header senden kann.

Headerfeld Beschreibung Beispiel
Accept-Ranges Welche Einheiten für Range-Angaben der Server akzeptiert. Accept-Ranges: bytes
Age Wie lange das Objekt im Proxy-Cache gelegen hat. Age: 12
Allow Erlaubte Aktionen für eine bestimmte Ressource. Muss u. a. mit einem 405 Method Not Allowed gesendet werden Allow: GET, HEAD
Cache-Control Teilt allen Caching-Mechanismen entlang der Abrufkette (z. B. Proxys) mit, ob und wie lange das Objekt gespeichert werden darf (in sec) Cache-Control: max-age=3600
Connection Vom Webserver bevorzugte Verbindungsarten Connection: close
Content-Disposition Mit diesem nicht standardisierten und als gefährlich eingestuften Feld kann der Server für bestimmte MIME-Typen Downloadfenster erzeugen und einen Dateinamen vorschlagen. Content-Disposition: attachment; filename=fname.ext
Content-Encoding Codierung des Inhalts Content-Encoding: gzip
Content-Language Die Sprache, in der die Datei vorliegt (nur sinnvoll bei Content-Negotiation). Wird gesendet, falls der Server mittels Content Negotiation entweder eine Sprache erkannt und ausliefert oder wenn der Server anhand der Endung eine Sprache erkennt. Content-Language: de
Content-Length Länge des Body in Bytes Content-Length: 512
Content-Location Alternativer Name/Speicherplatz für das angeforderte Element. Wird mittels CN beispielsweise „foo.html“ angefordert, und der Server schickt aufgrund des Accept-language-Felds die deutsche Version, die eigentlich unter foo.html.de liegt, zurück, so wird in Content-Location der Name der Originaldatei geschrieben Content-Location: /foo.html.de
Content-MD5 Die Base64-codierte MD5-Checksumme des Body Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
Content-Range Welchen Bereich des Gesamtbodys der gesendete Inhalt abdeckt Content-Range: bytes 21010-47021/47022
Content-Security-Policy Sicherheitskonzept, um Cross-Site-Scripting (XSS) and ähnliche Angriffe abzuwehren. Content-Security-Policy: default-src 'self'; frame-src 'none'; object-src 'none'
Content-Type Der MIME-Typ der angeforderten Datei. Er kann nicht mit einer Charset Angabe im HTML header überschrieben werden. Content-Type: text/html; charset=utf-8
Date Zeitpunkt des Absendens Date: Tue, 21 Jan 2014 10:04:21 GMT
ETag Eine bestimmte Version einer Datei, oft als Message Digest realisiert ETag: "737060cd8c284d8af7ad3082f209582d"
Expires Ab wann die Datei als veraltet angesehen werden kann. Expires: Tue, 21 Jan 2014 10:04:21 GMT
Last-Modified Zeitpunkt der letzten Änderung an der Datei. Last-Modified: Tue, 21 Jan 2014 10:04:21 GMT
Link Wird benutzt, um dem Client „verwandte“ Dateien oder Ressourcen mitzuteilen, z. B. einen RSS-Feed, einen Favicon, Copyright-Lizenzen etc. Dieses Header-Feld ist äquivalent zum link-Feld in (X)HTML. Link: http://example.con/rss.xml; rel="alternate"
Location Wird oft benutzt, um Clients weiterzuleiten (mit einem 3xx-Code) Location: http://www.w3.org/pub/WWW/People.html
P3P Dieses Feld wird genutzt, um eine P3P-Datenschutz-Policy wie folgt mitzuteilen:P3P:CP="your_compact_policy". P3P setzte sich nicht richtig durch, wird jedoch von einigen Browsern und Webseiten genutzt, um z. B. Cookie-Richtlinien durchzusetzen oder zu überprüfen. P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Pragma Implementierungs-spezifische Optionen, die mehrere Stationen in der Request-Response-Kette beeinflussen können. Pragma: no-cache
Proxy-Authenticat Anweisung, ob und wie der Client sich beim Proxy zu authentifizieren hat. Proxy-Authenticate: Basic
Refresh Refresh wird genutzt, um nach einer bestimmten Zahl von Sekunden weiterzuleiten oder die Seite zu aktualisieren. Dieses Headerfeld ist proprietär und kommt von Netscape, wird aber von den meisten Browsern unterstützt. Refresh: 5; url=http://www.w3.org/pub/WWW/People.html
Retry-After Falls eine Ressource zeitweise nicht verfügbar ist, so teilt der Server dem Client mit diesem Feld mit, wann sich ein neuer Versuch lohnt. Retry-After: 120
Server Serverkennung (so wie User-Agent für den Client ist, ist Server für die Serversoftware) Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
Set-Cookie Setzt ein Cookie beim Client. Set-Cookie: UserID=FooBar; Max-Age=3600; Version=1
Trailer Das Trailer-Feld enthält die Namen der Headerfelder, die im Trailer der Antwort (bei Chunked-Encoding) enthalten sind. Eine Nachricht in Chunked-Encoding ist aufgeteilt in den Header (Kopf), den Rumpf (Body) und den Trailer, wobei der Rumpf aus Effizienzgründen in Teile (Chunks) aufgeteilt sein kann. Der Trailer kann dann (je nach Wert des TE-Felders der Anfrage) Header-Informationen beinhalten, deren Vorabberechnung der Effizienzsteigerung zuwiderläuft. Trailer: Max-Forwards
Transfer-Encoding Die Methode, die genutzt wird, den Inhalt sicher zum Nutzer zu bringen. Zurzeit sind folgende Methoden definiert: chunked (aufgeteilt), compress (komprimiert), deflate (komprimiert), gzip (komprimiert), identity. Transfer-Encoding: chunked
Vary Zeigt Downstream-Proxys, wie sie anhand der Headerfelder zukünftige Anfragen behandeln sollen, also ob die gecachte Antwort genutzt werden kann oder eine neue Anfrage gestellt werden soll. Vary: *
Via Informiert den Client, über welche Proxys die Antwort gesendet wurde. Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
Warning Eine allgemeine Warnung vor Problemen mit dem Body. Warning: 199 Miscellaneous warning
WWW-Authenticate Definiert die Authentifikationsmethode, die genutzt werden soll, um eine bestimmte Datei herunterzuladen. WWW-Authenticate: Basic
X-Frame-Options Clickjacking-Schutz: „deny“ – kein Rendering in einem Frame; „sameorigin“ – Nur dann kein Rendering, falls die Herkunft falsch ist. X-Frame-Options: deny
X-XSS-Protection Cross-Site-Scripting (XSS) filter X-XSS-Protection: 1; mode=block
X-Content-Type-Options Der einzige definierte Wert "NOSNIFF", verhindert im Internet Explorer MIME-Sniffing. X-Content-Type-Options: nosniff
X-Powered-By Gibt die verwendete Technologie an die zum aufbauen der Seite benutzt wurde. X-Powered-By: PHP/5.3.8
X-UA-Compatible Empfiehlt die empfohlene Render Engine (oft ein Abwärts kompatibler Modus) um den Inhalt anzuzeigen. Auch genutzt um den Chrome Frame im Internet Explorer zu aktivieren. X-UA-Compatible: IE=EmulateIE7
X-Robots-Tag Setzt für Webcrawler fest, welche Inhalte indexiert werden dürfen. X-Robots-Tag: googlebot: nofollow