Comment voir les en-têtes HTTP dans le navigateur ?

F12 → onglet **Network** → cliquez sur une requête → onglet **Headers**. Vous voyez à la fois ce que le navigateur a envoyé (Request Headers) et ce que le serveur a renvoyé (Response Headers). En ligne de commande : `curl -I url` (en-têtes uniquement) ou `curl -v url` (avec le corps).

Pourquoi le préfixe X- sur certains en-têtes (X-Forwarded-For) ?

Historiquement, **X-** signifiait « expérimental » : en-têtes non standards ou non enregistrés. La RFC 6648 a officiellement banni les nouveaux en-têtes X- en 2012, mais les anciens sont restés pour la compatibilité. Aujourd'hui, si vous inventez un nouvel en-tête, nommez-le sans X- (par exemple `Request-Id` au lieu de `X-Request-Id`).

Pourquoi y a-t-il à la fois Content-Type et Accept ?

**Content-Type** décrit ce qui SE TROUVE dans le corps de ce message. **Accept** indique ce que l'autre côté ACCEPTERA en réponse. Exemple : le client fait un POST avec `Content-Type: application/json` (mon corps est en JSON) et `Accept: application/xml` (réponds en XML s'il te plaît). C'est la **négociation de contenu**.

Mes réponses contiennent X-Powered-By: Express. Faut-il le laisser ?

Mieux vaut le **supprimer**. Il indique aux attaquants quelle stack tourne. En Express : `app.disable("x-powered-by")`. De manière générale : n'exposez pas les détails d'implémentation (Server: nginx/1.27, X-AspNet-Version, etc.). En Nginx : `server_tokens off`.

Quand utiliser Cache-Control: no-cache plutôt que no-store ?

Malgré le nom, **no-cache ne signifie PAS « ne pas mettre en cache »**. Il signifie « **revalider systématiquement avec le serveur** avant de servir la copie en cache ». Le navigateur garde un cache, mais chaque requête inclut If-None-Match. **no-store** signifie littéralement « ne jamais stocker » : le cache est contourné, utilisé pour les données sensibles (banque).

Pourquoi Set-Cookie a-t-il autant de drapeaux (HttpOnly, Secure, SameSite) ?

Chacun protège contre une classe d'attaque précise. **HttpOnly** = JS ne peut pas le lire (bloque le vol de cookie via XSS). **Secure** = HTTPS uniquement (bloque le MITM). **SameSite=Strict/Lax** = le cookie ne voyage pas sur les requêtes tierces (bloque le CSRF). Pour les cookies de session, **mettez toujours les trois**.

Pourquoi CORS envoie-t-il un preflight OPTIONS avant un POST ?

Parce qu'un POST avec un Content-Type autre que `application/x-www-form-urlencoded` (typique des appels API JSON) est « non simple » et le navigateur envoie un **preflight OPTIONS** pour demander la permission au serveur. Le serveur répond avec Access-Control-Allow-Origin/Methods/Headers. Si OK, le POST réel suit.

Pourquoi « Referer » est-il mal orthographié au lieu de « Referrer » ?

Un classique de l'internet. Phillip Hallam-Baker a écrit la spec en 1996 avec une faute de frappe, elle a atterri dans les RFC et n'a jamais été corrigée. Donc **l'en-tête est Referer** (un seul r) mais **la politique correspondante est Referrer-Policy** (deux r). Oui, c'est déroutant.

X-XSS-Protection fonctionne-t-il encore ?

**Non**. Chrome a supprimé le support en 2019, les autres navigateurs ont suivi. Le filtre finissait par créer de nouvelles vulnérabilités. **Utilisez Content-Security-Policy à la place**. Pour les vieux navigateurs, définissez `X-XSS-Protection: 0` pour le désactiver explicitement : le laisser actif peut être pire que de le supprimer.

Référence en-têtes HTTP - gratuit

Affichage de 65 sur 65 en-têtes

Results

Header

Cache-Control

Requête + Réponsecachingpopular

Description

Règles de cache. L'en-tête de cache le plus important. no-store pour données sensibles, max-age pour assets statiques cachables, private pour empêcher le cache CDN.

Example value

Cache-Control: public, max-age=31536000, immutable

Related headers

↑↓naviguer dans la listeEntercopy first hit

Que signifient Cache-Control, Authorization, CORS et les autres en-têtes HTTP ?

Chaque requête et chaque réponse HTTP transporte un ensemble d'en-têtes HTTP qui indiquent à chaque partie ce qui se passe : quel format, quels cookies, quelles règles de cache, quelles permissions. Il en existe des dizaines et la plupart des développeurs n'en retiennent que cinq, puis paniquent devant le reste.

Cherchez n'importe quel en-tête ici : par nom (Cache-Control), par description (« force HTTPS ») ou par catégorie (Caching, Security, CORS). Chacun a une explication en français clair, un exemple de valeur prêt à copier et une liste d'en-têtes liés.

L'outil fonctionne hors-ligne parce que les données sont intégrées. Filtre instantané, copie du seul nom, de la seule valeur, ou de la ligne `Name: value` complète.

Mode d'emploi

Saisissez un nom (`Cache-Control`), une description (`force HTTPS`) ou une catégorie dans le champ de recherche. La liste se filtre instantanément.

Utilisez les pilules Authentication / Caching / CORS / Security / Cookies / Proxies / Other pour affiner.

Filtre de direction : Request / Response / Both, utile quand vous voulez précisément quelque chose que le serveur renvoie.

Les flèches ↑↓ déplacent la sélection, Entrée copie le nom du premier résultat.

Cliquez sur un en-tête pour ouvrir le panneau de détail : description, exemple de valeur, en-têtes liés. Copiez le nom seul, la valeur seule, ou la ligne `Name: value` complète.

Quand c'est utile

Situations courantes avec les en-têtes HTTP :

Configuration CORS : de quels en-têtes Access-Control-* avez-vous besoin pour que le frontend X puisse lire l'API Y ? Tous regroupés dans une catégorie.
Durcissement de sécurité : audit d'un serveur. Vérifiez Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Tous marqués comme populaires.
Cache et CDN : pourquoi le CDN ne met-il pas en cache ? Inspectez Cache-Control + Vary + Expires + ETag. Comprenez leurs interactions.
Déboguer 401/403 : vous recevez un 401 mais ne savez pas quel schéma annoncer. Consultez WWW-Authenticate, alignez Authorization.
Rate limiting : implémenter 429 Too Many Requests. Quel en-tête indique au client de patienter ? Retry-After. Exemple de valeur juste ici.
Migration HTTPS : comment activer HSTS ? Pas seulement la syntaxe mais aussi l'indice « include preload pour figurer en dur dans les navigateurs ».
Onboarding : un junior demande « c'est quoi X-Forwarded-For ? ». Envoyez-lui cette page au lieu d'expliquer.

Outils liés : codes de statut HTTP pour la même idée appliquée aux codes de réponse.

Questions et réponses

Ce sont des paires clé-valeur envoyées avec chaque requête et chaque réponse. Exemples : `Content-Type: application/json`, `Cache-Control: no-store`, `Authorization: Bearer abc`. Les en-têtes sont invisibles dans l'UI du navigateur (vous cliquez sur un lien, vous ne les voyez pas), mais le serveur et le navigateur les lisent à chaque opération. Il existe une centaine d'en-têtes standards, et vous pouvez en inventer (historiquement préfixés par `X-`).

Que signifient Cache-Control, Authorization, CORS et les autres en-têtes HTTP ?

L'outil fonctionne hors-ligne parce que les données sont intégrées. Filtre instantané, copie du seul nom, de la seule valeur, ou de la ligne `Name: value` complète.

Mode d'emploi

Saisissez un nom (`Cache-Control`), une description (`force HTTPS`) ou une catégorie dans le champ de recherche. La liste se filtre instantanément.

Utilisez les pilules Authentication / Caching / CORS / Security / Cookies / Proxies / Other pour affiner.

Filtre de direction : Request / Response / Both, utile quand vous voulez précisément quelque chose que le serveur renvoie.

Les flèches ↑↓ déplacent la sélection, Entrée copie le nom du premier résultat.

Cliquez sur un en-tête pour ouvrir le panneau de détail : description, exemple de valeur, en-têtes liés. Copiez le nom seul, la valeur seule, ou la ligne `Name: value` complète.

Quand c'est utile

Situations courantes avec les en-têtes HTTP :

Configuration CORS : de quels en-têtes Access-Control-* avez-vous besoin pour que le frontend X puisse lire l'API Y ? Tous regroupés dans une catégorie.
Durcissement de sécurité : audit d'un serveur. Vérifiez Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Tous marqués comme populaires.
Cache et CDN : pourquoi le CDN ne met-il pas en cache ? Inspectez Cache-Control + Vary + Expires + ETag. Comprenez leurs interactions.
Déboguer 401/403 : vous recevez un 401 mais ne savez pas quel schéma annoncer. Consultez WWW-Authenticate, alignez Authorization.
Rate limiting : implémenter 429 Too Many Requests. Quel en-tête indique au client de patienter ? Retry-After. Exemple de valeur juste ici.
Migration HTTPS : comment activer HSTS ? Pas seulement la syntaxe mais aussi l'indice « include preload pour figurer en dur dans les navigateurs ».
Onboarding : un junior demande « c'est quoi X-Forwarded-For ? ». Envoyez-lui cette page au lieu d'expliquer.

Outils liés : codes de statut HTTP pour la même idée appliquée aux codes de réponse.

Questions et réponses

Référence en-têtes HTTP

Que signifient Cache-Control, Authorization, CORS et les autres en-têtes HTTP ?

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Codes de statut HTTP

Inspecteur en-têtes HTTP

Recherche types MIME

Testeur requêtes HTTP

Référence en-têtes HTTP

Que signifient Cache-Control, Authorization, CORS et les autres en-têtes HTTP ?

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Codes de statut HTTP

Inspecteur en-têtes HTTP

Recherche types MIME

Testeur requêtes HTTP