HTTP-заголовки справочник

Полное руководство по HTTP-заголовкам — узнайте, что делает каждый заголовок, как его настроить и почему он важен для безопасности и производительности.

Безопасность

Content-Security-Policy

Контролирует, какие ресурсы браузер может загружать для страницы, помогая предотвратить XSS и инъекции данных.

Cross-Origin-Opener-Policy

Изолирует контекст браузера для предотвращения кросс-доменных атак типа Spectre.

Cross-Origin-Resource-Policy

Ограничивает, какие домены могут загружать ресурс, предотвращая несанкционированное чтение.

Permissions-Policy

Управляет доступом к функциям браузера: камера, микрофон, геолокация и другие.

Referrer-Policy

Контролирует объём информации о реферере в запросах, балансируя между приватностью и аналитикой.

Strict-Transport-Security

Указывает браузерам обращаться к сайту только по HTTPS, защищая от атак понижения протокола и перехвата cookie.

X-Content-Type-Options

Запрещает браузерам угадывать MIME-тип содержимого, снижая риск XSS-атак.

X-Frame-Options

Управляет возможностью отображения страницы во фрейме или iframe, защищая от clickjacking-атак.

X-XSS-Protection

Устаревший заголовок, включавший XSS-фильтр браузера. Заменён на Content-Security-Policy.

Ответ

Connection

Контролирует, остаётся ли соединение открытым после завершения транзакции.

Content-Encoding

Указывает алгоритм сжатия тела ответа, например gzip или brotli.

Content-Length

Указывает размер тела ответа в байтах.

Content-Type

Указывает медиа-тип тела ответа, сообщая браузеру, как интерпретировать содержимое.

Date

Указывает дату и время генерации ответа сервером.

ETag

Уникальный идентификатор версии ресурса для эффективных условных запросов.

Last-Modified

Дата и время последнего изменения ресурса для валидации кеша.

Location

Указывает URL для перенаправления клиента, используется с кодами 3xx.

Server

Определяет ПО веб-сервера. Рекомендуется скрывать из соображений безопасности.

Set-Cookie

Отправляет cookie от сервера к браузеру для управления сессиями и персонализации.

Transfer-Encoding

Указывает кодировку передачи тела ответа, обычно chunked.

Кеширование

Age

Показывает, сколько секунд ответ хранится в кеше с момента генерации.

Cache-Control

Основной заголовок управления кешированием, определяющий как и на какой срок ответы кешируются.

Expires

Задаёт дату, после которой ответ считается устаревшим. Вытеснен Cache-Control max-age.

Pragma

Устаревший заголовок HTTP/1.0 для управления кешированием. Заменён на Cache-Control.

Vary

Указывает кешам, какие заголовки запроса учитывать при выборе кешированного ответа.

CORS

Access-Control-Allow-Headers

Указывает разрешённые HTTP-заголовки в кросс-доменном запросе после preflight.

Access-Control-Allow-Methods

Указывает разрешённые HTTP-методы при кросс-доменном доступе в ответе preflight.

Access-Control-Allow-Origin

Определяет, какие домены могут читать ответ — основной заголовок CORS.

Проверьте HTTP-заголовки вашего сайта прямо сейчас

Проверить заголовки →

Часто задаваемые вопросы

Что такое HTTP-заголовки?

HTTP-заголовки — метаданные, передаваемые с каждым запросом и ответом. Они управляют кэшированием, безопасностью, типом контента, CORS, аутентификацией и другими аспектами HTTP-взаимодействия.

Какие категории HTTP-заголовков существуют?

Основные категории: заголовки безопасности (CSP, HSTS, X-Frame-Options), кэширования (Cache-Control, ETag), CORS (Access-Control-*), ответа (Content-Type, Content-Length), запроса (Accept, User-Agent, Authorization).

Какие заголовки безопасности обязательны?

Минимальный набор: Strict-Transport-Security (HSTS), X-Content-Type-Options: nosniff, X-Frame-Options. Рекомендуемые: Content-Security-Policy, Permissions-Policy, Referrer-Policy. Проверьте свои заголовки нашим HTTP-чекером.

Как работает кэширование через заголовки?

Cache-Control определяет политику кэширования: max-age (время жизни), no-cache (проверять свежесть), no-store (не кэшировать). ETag и Last-Modified позволяют браузеру проверить, изменился ли ресурс, без его повторной загрузки.

Что такое CORS-заголовки?

CORS (Cross-Origin Resource Sharing) — механизм, позволяющий веб-страницам запрашивать ресурсы с других доменов. Ключевые заголовки: Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers.