Jak zobaczyć nagłówki HTTP w przeglądarce?

F12 → zakładka **Network** → kliknij żądanie → zakładka **Headers**. Zobaczysz zarówno te wysłane przez przeglądarkę (Request Headers) jak i otrzymane od serwera (Response Headers). Z linii poleceń: `curl -I url` (tylko nagłówki) albo `curl -v url` (z body).

Po co prefiks X- w niektórych nagłówkach (X-Forwarded-For)?

Historycznie **X-** oznaczało "experimental" - nagłówki niestandardowe albo niezarejestrowane. RFC 6648 z 2012 oficjalnie zakazało dodawania nowych X-, ale stare zostały dla zgodności. Dziś tworząc własny nagłówek po prostu nazwij go bez X- (np. `Request-Id` zamiast `X-Request-Id`).

Dlaczego są dwa nagłówki Content-Type i Accept?

**Content-Type** opisuje co JEST w body danego komunikatu. **Accept** mówi co druga strona AKCEPTUJE w odpowiedzi. Przykład: klient wysyła POST z `Content-Type: application/json` (moje body jest JSON-em) i `Accept: application/xml` (zwróć mi XML). To **negocjacja treści**.

Co zrobić gdy odpowiedź ma X-Powered-By: Express?

Lepiej **usunąć**. To podpowiada atakującym jakiej technologii używasz. W Express: `app.disable("x-powered-by")`. Generalnie zasada: serwer nie powinien wysyłać niczego co ujawnia szczegóły implementacji (Server: nginx/1.27, X-AspNet-Version, itp.). W Nginx: `server_tokens off`.

Kiedy Cache-Control: no-cache a kiedy no-store?

Wbrew nazwie **no-cache NIE znaczy "nie cache-uj"**. Znaczy "**zawsze rewaliduj z serwerem** zanim podasz cache-owaną wersję". Czyli przeglądarka MA cache, ale każde żądanie idzie z If-None-Match żeby sprawdzić. **no-store** znaczy dosłownie "nigdy nie zapisuj" - cache jest pomijany, np. dla danych wrażliwych (banking).

Czemu Set-Cookie ma tyle flag (HttpOnly, Secure, SameSite)?

Każda chroni przed konkretną klasą ataków. **HttpOnly** = JS nie może odczytać (chroni przed XSS kradnącym sesję). **Secure** = tylko po HTTPS (chroni przed MITM). **SameSite=Strict/Lax** = cookie nie idzie z innych witryn (chroni przed CSRF). Dla ciasteczek sesyjnych **zawsze ustaw wszystkie trzy**.

Czemu CORS preflight wysyła OPTIONS przed POST?

Bo POST z innym Content-Type niż `application/x-www-form-urlencoded` (czyli typowy JSON API call) jest "non-simple" i przeglądarka wysyła **OPTIONS preflight** żeby spytać czy serwer pozwala. Serwer odpowiada Access-Control-Allow-Origin/Methods/Headers. Jeśli OK, dopiero wtedy idzie faktyczny POST.

Co znaczy literówka "Referer" zamiast "Referrer"?

Klasyk Internetu. Phillip Hallam-Baker w 1996 napisał spec z literówką, weszło do RFC i już zostało. Dlatego **nagłówek nazywa się Referer** (1 r), ale **polityka tego samego nagłówka nazywa się Referrer-Policy** (2 r). Tak, to mylące.

Czy X-XSS-Protection jeszcze działa?

**Nie**. Chrome usunął obsługę w 2019, inne przeglądarki też. Filtr okazał się sam tworzyć podatności. **Zamiast tego używaj Content-Security-Policy**. Dla bezpieczeństwa lepiej **wyłącz** stary nagłówek przez `X-XSS-Protection: 0` - niektóre stare przeglądarki bez tego mogą zachowywać się dziwnie.

Naglowki HTTP - referencja - darmowy

Znaleziono 65 z 65 naglowkow

Wyniki

Naglowek

Cache-Control

Żądanie + Odpowiedźcachingpopularne

Opis

Reguły cache. Najważniejszy nagłówek cache. no-store dla wrażliwych danych, max-age dla cacheowalnych zasobów, private żeby CDN nie cacheował.

Przykladowa wartosc

Cache-Control: public, max-age=31536000, immutable

Powiazane naglowki

↑↓nawigacja po liscieEnterkopiuj pierwszy wynik

Co znaczy Cache-Control, Authorization, CORS i inne nagłówki HTTP?

Każde żądanie HTTP i każda odpowiedź mają zestaw nagłówków HTTP mówiących pierwszej i drugiej stronie co się dzieje: jaki format, jakie ciasteczka, jakie cache, jakie uprawnienia. Tych nagłówków jest kilkadziesiąt - większość programistów pamięta pięć i ginie przy reszcie.

Tu wyszukasz dowolny: po nazwie (Cache-Control), opisie ("forces HTTPS"), kategorii (Caching, Security, CORS). Każdy ma plain language wyjaśnienie, przykładową wartość gotową do skopiowania i listę powiązanych nagłówków.

Wszystko działa offline - dane zaszyte, instant filter, kopiowanie samej nazwy, samej wartości albo całego nagłówka `Nazwa: wartość`.

Jak korzystać

Wpisz w wyszukiwarkę nazwę (`Cache-Control`), opis (`forces HTTPS`) albo kategorię - lista filtruje się od razu.

Klikaj filtry Uwierzytelnianie / Cache / CORS / Bezpieczeństwo / Ciasteczka / Proxy / Inne żeby zawęzić.

Filtr kierunku: Żądanie / Odpowiedź / Oba - pomaga gdy szukasz konkretnie czegoś co serwer wysyła klientowi.

Strzałki ↑↓ poruszają zaznaczeniem, Enter kopiuje nazwę pierwszego wyniku.

Kliknij nagłówek żeby zobaczyć pełny panel: opis, przykładową wartość, powiązane nagłówki. Kopiuj samą nazwę, wartość albo cały `Nazwa: wartość`.

Do czego się przydaje

Codzienne sytuacje z HTTP-headerami w pracy programisty:

Konfiguracja CORS - jakie Access-Control-* dodać, żeby frontend X mógł czytać API Y? Tu masz wszystkie w jednej kategorii.
Hartowanie security - audytujesz odpowiedzi serwera. Sprawdzasz: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Wszystkie z popular gwiazdką.
Cache i CDN - dlaczego CDN nie cacheuje? Sprawdzasz Cache-Control + Vary + Expires + ETag. Tu zrozumiesz jak współgrają.
Debugowanie 401/403 - dostajesz 401 ale nie wiesz jakiego schematu wymagać. Patrzysz WWW-Authenticate, dopasowujesz Authorization.
Rate limiting - implementujesz 429 Too Many Requests. Jaki nagłówek dodać dla klienta? Retry-After. Tu masz przykładową wartość.
HTTPS migration - jak włączyć HSTS? Tu nie tylko składnia ale wskazówki "include preload by wpisać się do listy w przeglądarce".
Onboarding - junior pyta "co to jest X-Forwarded-For?". Linkujesz mu stronę zamiast tłumaczyć.

Powiązane narzędzia: kody statusów HTTP do tego samego ale dla kodów odpowiedzi. Inspector nagłówków HTTP pokaże co konkretny serwer wysyła w prawdziwym ruchu.

Pytania i odpowiedzi

To pary klucz-wartość wysyłane razem z każdym żądaniem i odpowiedzią. Przykład: `Content-Type: application/json`, `Cache-Control: no-store`, `Authorization: Bearer abc`. Nagłówki są niewidoczne w przeglądarce (klikasz link, nie widzisz ich), ale serwer i przeglądarka czytają je przy każdej operacji. Standardów jest ok. 100, można też tworzyć własne (zaczynane od `X-`).

Co znaczy Cache-Control, Authorization, CORS i inne nagłówki HTTP?

Wszystko działa offline - dane zaszyte, instant filter, kopiowanie samej nazwy, samej wartości albo całego nagłówka `Nazwa: wartość`.

Jak korzystać

Wpisz w wyszukiwarkę nazwę (`Cache-Control`), opis (`forces HTTPS`) albo kategorię - lista filtruje się od razu.

Klikaj filtry Uwierzytelnianie / Cache / CORS / Bezpieczeństwo / Ciasteczka / Proxy / Inne żeby zawęzić.

Filtr kierunku: Żądanie / Odpowiedź / Oba - pomaga gdy szukasz konkretnie czegoś co serwer wysyła klientowi.

Strzałki ↑↓ poruszają zaznaczeniem, Enter kopiuje nazwę pierwszego wyniku.

Kliknij nagłówek żeby zobaczyć pełny panel: opis, przykładową wartość, powiązane nagłówki. Kopiuj samą nazwę, wartość albo cały `Nazwa: wartość`.

Do czego się przydaje

Codzienne sytuacje z HTTP-headerami w pracy programisty:

Konfiguracja CORS - jakie Access-Control-* dodać, żeby frontend X mógł czytać API Y? Tu masz wszystkie w jednej kategorii.
Hartowanie security - audytujesz odpowiedzi serwera. Sprawdzasz: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Wszystkie z popular gwiazdką.
Cache i CDN - dlaczego CDN nie cacheuje? Sprawdzasz Cache-Control + Vary + Expires + ETag. Tu zrozumiesz jak współgrają.
Debugowanie 401/403 - dostajesz 401 ale nie wiesz jakiego schematu wymagać. Patrzysz WWW-Authenticate, dopasowujesz Authorization.
Rate limiting - implementujesz 429 Too Many Requests. Jaki nagłówek dodać dla klienta? Retry-After. Tu masz przykładową wartość.
HTTPS migration - jak włączyć HSTS? Tu nie tylko składnia ale wskazówki "include preload by wpisać się do listy w przeglądarce".
Onboarding - junior pyta "co to jest X-Forwarded-For?". Linkujesz mu stronę zamiast tłumaczyć.

Powiązane narzędzia: kody statusów HTTP do tego samego ale dla kodów odpowiedzi. Inspector nagłówków HTTP pokaże co konkretny serwer wysyła w prawdziwym ruchu.

Pytania i odpowiedzi

Naglowki HTTP - referencja

Co znaczy Cache-Control, Authorization, CORS i inne nagłówki HTTP?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kody statusów HTTP

Inspektor nagłówków HTTP

Wyszukiwarka MIME types

Tester zapytań HTTP

Naglowki HTTP - referencja

Co znaczy Cache-Control, Authorization, CORS i inne nagłówki HTTP?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kody statusów HTTP

Inspektor nagłówków HTTP

Wyszukiwarka MIME types

Tester zapytań HTTP