Wie sehe ich HTTP-Header im Browser?

F12 -> **Network**-Tab -> Request klicken -> **Headers**-Tab. Du siehst, was der Browser geschickt hat (Request Headers) und was der Server zurueckgegeben hat (Response Headers). Per Kommandozeile: `curl -I url` (nur Header) oder `curl -v url` (mit Body).

Warum X-Praefix in manchen Headern (X-Forwarded-For)?

Historisch hiess **X-** "experimentell" - nicht-Standard- oder unregistrierte Header. RFC 6648 hat 2012 neue X-Header offiziell verboten, aber die alten blieben aus Kompatibilitaet. Heute, wenn du einen neuen Header erfindest, nenn ihn ohne X- (z.B. `Request-Id` statt `X-Request-Id`).

Warum gibts sowohl Content-Type als auch Accept?

**Content-Type** beschreibt, was IST im Body dieser Nachricht. **Accept** sagt, was die andere Seite in einer Response AKZEPTIERT. Beispiel: Client POSTet mit `Content-Type: application/json` (mein Body ist JSON) und `Accept: application/xml` (bitte antworte XML). Das ist **Content-Negotiation**.

Meine Responses haben X-Powered-By: Express. Soll ich es lassen?

Lieber **entfernen**. Es sagt Angreifern, welchen Stack du laeufst. In Express: `app.disable("x-powered-by")`. Generell: gib keine Implementierungs-Details preis (Server: nginx/1.27, X-AspNet-Version etc.). In Nginx: `server_tokens off`.

Wann Cache-Control: no-cache vs. no-store?

Trotz des Namens heisst **no-cache NICHT "nicht cachen"**. Es heisst "**immer mit Server revalidieren** vor Bedienen der gecachten Kopie". Der Browser haelt einen Cache, aber jeder Request enthaelt If-None-Match. **no-store** heisst woertlich "nie speichern" - Cache wird umgangen, fuer sensible Daten (Banking).

Warum hat Set-Cookie so viele Flags (HttpOnly, Secure, SameSite)?

Jede verteidigt gegen eine spezifische Angriffsklasse. **HttpOnly** = JS kann es nicht lesen (stoppt XSS-Cookie-Diebstahl). **Secure** = nur HTTPS (stoppt MITM). **SameSite=Strict/Lax** = das Cookie reitet nicht auf Drittanbieter-Requests (stoppt CSRF). Fuer Session-Cookies **immer alle drei setzen**.

Warum schickt CORS einen OPTIONS-Preflight vor POST?

Weil ein POST mit anderem Content-Type als `application/x-www-form-urlencoded` (typische JSON-API-Calls) "non-simple" ist und der Browser einen **OPTIONS-Preflight** schickt, um Server-Erlaubnis zu fragen. Der Server antwortet mit Access-Control-Allow-Origin/Methods/Headers. Bei OK folgt der eigentliche POST.

Warum ist "Referer" falsch geschrieben statt "Referrer"?

Ein Internet-Klassiker. Phillip Hallam-Baker hat 1996 die Spec mit Tippfehler geschrieben, landete in RFCs, wurde nie gefixt. Also **der Header ist Referer** (ein r), aber **die Policy dafuer ist Referrer-Policy** (zwei r). Ja, verwirrend.

Funktioniert X-XSS-Protection noch?

**Nein**. Chrome hat 2019 Support entfernt, andere Browser folgten. Der Filter hat neue Schwachstellen geschaffen. **Nimm Content-Security-Policy stattdessen**. Fuer alte Browser `X-XSS-Protection: 0` setzen, um es explizit abzuschalten - es an zu lassen kann schlimmer sein als zu entfernen.

HTTP-Header Referenz - kostenlos

Zeige 65 von 65 Headern

Ergebnisse

Header

Cache-Control

Anfrage und Antwortcachingbeliebt

Beschreibung

Caching-Regeln. Der wichtigste Caching-Header. Verwende no-store für sensible Daten.

Beispielwert

Cache-Control: public, max-age=31536000, immutable

Verwandte Header

↑↓durch die Liste navigierenEnterersten Treffer kopieren

Was bedeuten Cache-Control, Authorization, CORS und die anderen HTTP-Header?

Jeder HTTP-Request und jede Response traegt einen Satz HTTP-Header, die beiden Seiten sagen, was los ist: welches Format, welche Cookies, welche Cache-Regeln, welche Berechtigungen. Es gibt Dutzende, und die meisten Devs erinnern sich an fuenf und kriegen bei den anderen Panik.

Suche hier jeden Header: nach Name (Cache-Control), Beschreibung ("erzwingt HTTPS") oder Kategorie (Caching, Security, CORS). Jeder hat eine Klartext-Erklaerung, einen Beispielwert zum Kopieren und eine Liste verwandter Header.

Laeuft offline, weil die Daten eingebacken sind. Sofort-Filter, kopier nur den Namen, nur den Wert oder die volle `Name: value`-Zeile.

So nutzt du das Tool

Tipp einen Namen (`Cache-Control`), eine Beschreibung (`erzwingt HTTPS`) oder eine Kategorie ins Suchfeld. Liste filtert sofort.

Mit den Authentication/Caching/CORS/Security/Cookies/Proxies/Other-Pills eingrenzen.

Richtungs-Filter: Request/Response/Both - nuetzlich, wenn du speziell was suchst, was der Server zurueckschickt.

Pfeiltasten (rauf)(runter) schieben das Highlight, Enter kopiert den Namen des ersten Treffers.

Klick einen Header fuers Detail-Panel: Beschreibung, Beispielwert, verwandte Header. Kopier nur den Namen, nur den Wert oder die volle `Name: value`.

Wann das nuetzlich ist

Alltagssituationen mit HTTP-Headern:

CORS-Konfiguration - welche Access-Control-*-Header brauchst du, damit Frontend X die API Y lesen kann? Alle in einer Kategorie.
Security-Hardening - Server-Audit. Pruef: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Alle als beliebt markiert.
Cache und CDN - warum cached das CDN nicht? Inspizier Cache-Control + Vary + Expires + ETag. Versteh, wie sie zusammenspielen.
401/403 debuggen - du kriegst 401, weisst aber nicht, welches Schema zu announcen. Schau WWW-Authenticate nach, richte Authorization aus.
Rate-Limiting - 429 Too Many Requests implementieren. Welcher Header sagt dem Client, zurueckzuweichen? Retry-After. Beispielwert direkt hier.
HTTPS-Migration - wie aktivierst du HSTS? Nicht nur die Syntax, sondern auch der "include preload, um in Browser hartzucodieren"-Hinweis.
Onboarding - ein Junior fragt "was ist X-Forwarded-For?". Schick ihn auf die Seite statt zu erklaeren.

Verwandte Tools: HTTP-Status-Codes fuer die gleiche Idee bei Response-Codes. Der HTTP-Header-Inspektor zeigt, was ein echter Server bei einer Live-URL zurueckgibt.

Fragen und Antworten

Sie sind Key-Value-Paare neben jedem Request und jeder Response. Beispiel: `Content-Type: application/json`, `Cache-Control: no-store`, `Authorization: Bearer abc`. Header sind in der Browser-UI unsichtbar (Link klicken, du siehst sie nicht), aber Server und Browser lesen sie bei jeder Operation. Etwa 100 Standard-Header existieren, und du kannst eigene erfinden (historisch mit `X-` praefixiert).

Was bedeuten Cache-Control, Authorization, CORS und die anderen HTTP-Header?

Laeuft offline, weil die Daten eingebacken sind. Sofort-Filter, kopier nur den Namen, nur den Wert oder die volle `Name: value`-Zeile.

So nutzt du das Tool

Tipp einen Namen (`Cache-Control`), eine Beschreibung (`erzwingt HTTPS`) oder eine Kategorie ins Suchfeld. Liste filtert sofort.

Mit den Authentication/Caching/CORS/Security/Cookies/Proxies/Other-Pills eingrenzen.

Richtungs-Filter: Request/Response/Both - nuetzlich, wenn du speziell was suchst, was der Server zurueckschickt.

Pfeiltasten (rauf)(runter) schieben das Highlight, Enter kopiert den Namen des ersten Treffers.

Klick einen Header fuers Detail-Panel: Beschreibung, Beispielwert, verwandte Header. Kopier nur den Namen, nur den Wert oder die volle `Name: value`.

Wann das nuetzlich ist

Alltagssituationen mit HTTP-Headern:

CORS-Konfiguration - welche Access-Control-*-Header brauchst du, damit Frontend X die API Y lesen kann? Alle in einer Kategorie.
Security-Hardening - Server-Audit. Pruef: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Alle als beliebt markiert.
Cache und CDN - warum cached das CDN nicht? Inspizier Cache-Control + Vary + Expires + ETag. Versteh, wie sie zusammenspielen.
401/403 debuggen - du kriegst 401, weisst aber nicht, welches Schema zu announcen. Schau WWW-Authenticate nach, richte Authorization aus.
Rate-Limiting - 429 Too Many Requests implementieren. Welcher Header sagt dem Client, zurueckzuweichen? Retry-After. Beispielwert direkt hier.
HTTPS-Migration - wie aktivierst du HSTS? Nicht nur die Syntax, sondern auch der "include preload, um in Browser hartzucodieren"-Hinweis.
Onboarding - ein Junior fragt "was ist X-Forwarded-For?". Schick ihn auf die Seite statt zu erklaeren.

Verwandte Tools: HTTP-Status-Codes fuer die gleiche Idee bei Response-Codes. Der HTTP-Header-Inspektor zeigt, was ein echter Server bei einer Live-URL zurueckgibt.

Fragen und Antworten

HTTP-Header Referenz

Was bedeuten Cache-Control, Authorization, CORS und die anderen HTTP-Header?

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

HTTP-Statuscodes

HTTP-Header Inspector

MIME-Typ-Lookup

HTTP Request Tester

HTTP-Header Referenz

Was bedeuten Cache-Control, Authorization, CORS und die anderen HTTP-Header?

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

HTTP-Statuscodes

HTTP-Header Inspector

MIME-Typ-Lookup

HTTP Request Tester