Skip to content
Тарифы EN Войти
EN

HTTP-заголовки справочник

Полное руководство по HTTP-заголовкам — узнайте, что делает каждый заголовок, как его настроить и почему он важен для безопасности и производительности.

Безопасность

Content-Security-Policy
Контролирует, какие ресурсы браузер может загружать для страницы, помогая предотвратить XSS и инъекции данных.
Cross-Origin-Opener-Policy
Изолирует контекст браузера для предотвращения кросс-доменных атак типа Spectre.
Cross-Origin-Resource-Policy
Ограничивает, какие домены могут загружать ресурс, предотвращая несанкционированное чтение.
Permissions-Policy
Управляет доступом к функциям браузера: камера, микрофон, геолокация и другие.
Referrer-Policy
Контролирует объём информации о реферере в запросах, балансируя между приватностью и аналитикой.
Strict-Transport-Security
Указывает браузерам обращаться к сайту только по HTTPS, защищая от атак понижения протокола и перехвата cookie.
X-Content-Type-Options
Запрещает браузерам угадывать MIME-тип содержимого, снижая риск XSS-атак.
X-Frame-Options
Управляет возможностью отображения страницы во фрейме или iframe, защищая от clickjacking-атак.
X-XSS-Protection
Устаревший заголовок, включавший XSS-фильтр браузера. Заменён на Content-Security-Policy.

Ответ

Connection
Контролирует, остаётся ли соединение открытым после завершения транзакции.
Content-Disposition
Указывает, должен ли ответ отображаться встроенно или загружаться как файл.
Content-Encoding
Указывает алгоритм сжатия тела ответа, например gzip или brotli.
Content-Length
Указывает размер тела ответа в байтах.
Content-Type
Указывает медиа-тип тела ответа, сообщая браузеру, как интерпретировать содержимое.
Date
Указывает дату и время генерации ответа сервером.
ETag
Уникальный идентификатор версии ресурса для эффективных условных запросов.
Last-Modified
Дата и время последнего изменения ресурса для валидации кеша.
Location
Указывает URL для перенаправления клиента, используется с кодами 3xx.
Retry-After
Сообщает клиенту, как долго ждать перед повторным запросом после ограничения скорости или редиректа.
Server
Определяет ПО веб-сервера. Рекомендуется скрывать из соображений безопасности.
Set-Cookie
Отправляет cookie от сервера к браузеру для управления сессиями и персонализации.
Transfer-Encoding
Указывает кодировку передачи тела ответа, обычно chunked.
WWW-Authenticate
Определяет метод аутентификации, требуемый сервером для доступа к защищённому ресурсу.

Кеширование

Age
Показывает, сколько секунд ответ хранится в кеше с момента генерации.
Cache-Control
Основной заголовок управления кешированием, определяющий как и на какой срок ответы кешируются.
Expires
Задаёт дату, после которой ответ считается устаревшим. Вытеснен Cache-Control max-age.
Pragma
Устаревший заголовок HTTP/1.0 для управления кешированием. Заменён на Cache-Control.
Vary
Указывает кешам, какие заголовки запроса учитывать при выборе кешированного ответа.

CORS

Access-Control-Allow-Credentials
Указывает, может ли ответ на кросс-origin запрос с учётными данными быть доступен JavaScript.
Access-Control-Allow-Headers
Указывает разрешённые HTTP-заголовки в кросс-доменном запросе после preflight.
Access-Control-Allow-Methods
Указывает разрешённые HTTP-методы при кросс-доменном доступе в ответе preflight.
Access-Control-Allow-Origin
Определяет, какие домены могут читать ответ — основной заголовок CORS.
Access-Control-Max-Age
Указывает, как долго результаты CORS preflight-запроса могут кешироваться.

Запрос

Accept
Указывает типы медиаконтента, которые клиент может обработать в ответе.
Accept-Encoding
Указывает, какие кодировки содержимого клиент может понять.
Accept-Language
Указывает предпочтительные естественные языки для ответа.
Authorization
Передаёт учётные данные для аутентификации клиента на сервере.
Cookie
Отправляет ранее сохранённые куки обратно на сервер с каждым запросом.
Host
Указывает доменное имя и порт сервера, к которому направлен запрос.
If-Modified-Since
Делает запрос условным; сервер отвечает 304, если содержимое не изменилось с указанной даты.
If-None-Match
Делает запрос условным на основе значения ETag; обеспечивает эффективную валидацию кеша.
Origin
Указывает источник (схема, хост, порт), из которого выполняется кросс-origin запрос.
Range
Запрашивает только определённую часть ресурса, обеспечивая частичную загрузку.
Referer
Содержит URL страницы, которая привела к текущему запрошенному ресурсу.
User-Agent
Идентифицирует клиентское приложение, ОС и движок, выполняющий запрос.

Проверьте HTTP-заголовки вашего сайта прямо сейчас

Проверить заголовки →
БезопасностьHSTS, CSP, X-Frame-Options и другие заголовки защищают сайт от XSS, clickjacking и MITM атак.
ПроизводительностьCache-Control, ETag, Vary управляют кэшированием и снижают нагрузку на сервер.
CORSAccess-Control-Allow-Origin определяет, какие домены могут делать кросс-доменные запросы.
ДиагностикаЗаголовки раскрывают стек сервера, версию ПО и конфигурацию — ценная информация для аудита.

Почему нам доверяют

45+
HTTP-заголовков
Cache
анализ кеширования
<2с
результат
HSTS
и security-заголовки

Как это работает

1

Введите URL

2

HTTP-ответ получен

3

Все заголовки разобраны

HTTP-заголовки: диагностика и безопасность сервера

HTTP-заголовки — это метаданные каждого ответа сервера. Они управляют безопасностью, кэшированием, CORS и сжатием. Правильная настройка заголовков критична для защиты от атак и оптимальной производительности.

Security Headers

Мгновенная проверка наличия HSTS, CSP, X-Content-Type-Options, Referrer-Policy и Permissions-Policy.

Cache Headers

Анализ Cache-Control, Expires, ETag и Vary для диагностики проблем кэширования.

Server Fingerprint

Обнаружение Server, X-Powered-By и других заголовков, раскрывающих технологический стек.

Оценка конфигурации

Итоговая оценка безопасности заголовков с конкретными рекомендациями по улучшению.

Кому это нужно

Разработчики

отладка HTTP-ответов

DevOps

проверка кеша и CDN

Безопасность

аудит security-заголовков

SEO

редиректы и canonical

Частые ошибки

Отсутствие HSTSБез Strict-Transport-Security браузер может загрузить сайт по HTTP. Используйте max-age=31536000; includeSubDomains.
Раскрытие версии сервераЗаголовок Server: Apache/2.4.51 помогает атакующим находить уязвимые версии. Скройте версию в конфиге.
Широкий CORS без ограниченийAccess-Control-Allow-Origin: * допустим только для публичных API. Для авторизованных ресурсов — whitelist.
Отсутствие X-Frame-OptionsБез этого заголовка сайт может быть встроен в iframe злоумышленником для clickjacking-атак.

Лучшие практики

Внедрите минимальный набор security headersHSTS, X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin.
Настройте Cache-Control для статикиCSS, JS, изображения: max-age=31536000, immutable. HTML: no-cache или короткий max-age.
Проверяйте заголовки после деплояОбновление nginx/Apache конфига может сбросить security headers. Включите проверку в CI/CD.
Используйте CSP в режиме report-only сначалаContent-Security-Policy-Report-Only позволяет отладить политику без блокировки легитимных ресурсов.

Получите больше с бесплатным аккаунтом

История проверок HTTP-заголовков и API-доступ для автоматизации.

Зарегистрироваться (FREE)

Полный справочник HTTP-заголовков для разработчиков

HTTP-заголовки — пары ключ-значение, передаваемые с каждым запросом и ответом. Они управляют кэшированием, политиками безопасности, согласованием контента, аутентификацией и перенаправлениями. Заголовки безопасности — Content-Security-Policy, Strict-Transport-Security, X-Frame-Options — защищают от XSS, кликджекинга и атак на понижение протокола. Кэш-заголовки Cache-Control и ETag снижают трафик и ускоряют загрузку. Справочник охватывает все стандартные и часто используемые HTTP-заголовки с синтаксисом и рекомендуемыми значениями.

Часто задаваемые вопросы

Что такое HTTP-заголовки?

HTTP-заголовки — метаданные, передаваемые с каждым запросом и ответом. Они управляют кэшированием, безопасностью, типом контента, CORS, аутентификацией и другими аспектами HTTP-взаимодействия.

Какие категории HTTP-заголовков существуют?

Основные категории: заголовки безопасности (CSP, HSTS, X-Frame-Options), кэширования (Cache-Control, ETag), CORS (Access-Control-*), ответа (Content-Type, Content-Length), запроса (Accept, User-Agent, Authorization).

Какие заголовки безопасности обязательны?

Минимальный набор: Strict-Transport-Security (HSTS), X-Content-Type-Options: nosniff, X-Frame-Options. Рекомендуемые: Content-Security-Policy, Permissions-Policy, Referrer-Policy. Проверьте свои заголовки нашим HTTP-чекером.

Как работает кэширование через заголовки?

Cache-Control определяет политику кэширования: max-age (время жизни), no-cache (проверять свежесть), no-store (не кэшировать). ETag и Last-Modified позволяют браузеру проверить, изменился ли ресурс, без его повторной загрузки.

Что такое CORS-заголовки?

CORS (Cross-Origin Resource Sharing) — механизм, позволяющий веб-страницам запрашивать ресурсы с других доменов. Ключевые заголовки: Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers.

Статьи по теме

Безопасность

Правила WAF: написание эффективных политик веб-файрвола

10 мин · Читать → HTTP

Полный жизненный цикл HTTP-запроса: от URL до отрендеренной страницы

10 мин · Читать → HTTP

HTTP коды ответов: полный справочник с примерами

18 мин · Читать →
Все статьи →

Начните мониторинг бесплатно

Зарегистрируйтесь и получите доступ к API, мониторингу и уведомлениям

Создать аккаунт Документация API