Elenco dei campi di intestazione HTTP - List of HTTP header fields

HTTP
Metodi di richiesta
Campi di intestazione
Codici di stato di risposta
Metodi di controllo dell'accesso di sicurezza
Vulnerabilità di sicurezza

I campi di intestazione HTTP sono un elenco di dati HTTP separati dal feed di riga inviati e ricevuti sia dal programma client che dal server su ogni richiesta HTTP. Queste intestazioni sono solitamente invisibili all'utente finale e sono visibili solo ai programmi di backend e alle persone che gestiscono il sistema Internet. Definiscono come vengono codificate le informazioni inviate/ricevute tramite la connessione (come in Accept-Encoding), la verifica della sessione e l'identificazione del client (come nei cookie del browser , indirizzo IP, user-agent ) o il loro anonimato (VPN o proxy masking , spoofing user-agent), come il server dovrebbe gestire i dati (come in Do-Not-Track), l'età del documento scaricato, tra gli altri.

Formato generale

I campi di intestazione vengono trasmessi dopo la riga di richiesta (in caso di messaggio HTTP di richiesta) o la riga di risposta (in caso di messaggio HTTP di risposta), che è la prima riga di un messaggio. I campi di intestazione sono coppie chiave-valore separate da due punti in formato stringa di testo non crittografato , terminati da una sequenza di caratteri di ritorno a capo (CR) e di avanzamento riga (LF). La fine della sezione di intestazione è indicata da una riga di campo vuota, con conseguente trasmissione di due coppie CR-LF consecutive. In passato, le lunghe file potevano essere piegate in più linee; le righe di continuazione sono indicate dalla presenza di uno spazio (SP) o di una tabulazione orizzontale (HT) come primo carattere della riga successiva. Questa piegatura è ora deprecata.

Nomi dei campi

Un set principale di campi è standardizzato dalla Internet Engineering Task Force (IETF) nelle RFC 7230, 7231, 7232, 7233, 7234 e 7235. Il registro permanente dei campi di intestazione e il repository delle registrazioni provvisorie sono gestiti dalla IANA . Ulteriori nomi di campo e valori consentiti possono essere definiti da ciascuna applicazione.

I nomi dei campi di intestazione non fanno distinzione tra maiuscole e minuscole. Questo è in contrasto con i nomi dei metodi HTTP (GET, POST e così via), che fanno distinzione tra maiuscole e minuscole.

HTTP/2 impone alcune restrizioni su campi di intestazione specifici (vedi sotto).

I campi di intestazione non standard sono stati convenzionalmente contrassegnati anteponendo il nome del campo con, X-ma questa convenzione è stata deprecata nel giugno 2012 a causa degli inconvenienti causati quando i campi non standard sono diventati standard. Una precedente restrizione all'uso di è Downgraded-stata revocata nel marzo 2013.

Valori di campo

Alcuni campi possono contenere commenti (es. nei campi User-Agent, Server, Via), che possono essere ignorati dal software.

Molti valori di campo possono contenere una coppia chiave-valore quality ( q ) separata dal segno di uguale , che specifica un peso da utilizzare nella negoziazione del contenuto . Ad esempio, un browser può indicare che accetta informazioni in tedesco o inglese, con il tedesco come preferito impostando il valore q per un valore demaggiore di quello di en, come segue:

Accept-Language: de; q=1.0, en; q=0.5

Limiti di dimensione

Lo standard non impone limiti alla dimensione di ogni nome o valore di campo di intestazione, o al numero di campi. Tuttavia, la maggior parte dei server, client e software proxy impone alcuni limiti per motivi pratici e di sicurezza. Ad esempio, il server Apache 2.3 per impostazione predefinita limita la dimensione di ciascun campo a 8.190 byte e possono esserci al massimo 100 campi di intestazione in una singola richiesta.

Campi di richiesta

Campi di richiesta standard

Nome Descrizione Esempio Stato Standard
SCOPO Manipolazioni di istanza accettabili per la richiesta. A-IM: feed Permanente RFC  3229
Accettare Tipi di media accettabili per la risposta. Vedere Negoziazione dei contenuti . Accept: text/html Permanente RFC  2616 , 7231
Accetta-Charset Set di caratteri accettabili. Accept-Charset: utf-8 Permanente RFC  2616
Accetta-Data e ora Versione accettabile nel tempo. Accept-Datetime: Thu, 31 May 2007 20:35:00 GMT Provvisorio RFC  7089
Accetta-codifica Elenco delle codifiche accettabili. Vedere Compressione HTTP . Accept-Encoding: gzip, deflate Permanente RFC  2616 , 7231
Accetta-Lingua Elenco dei linguaggi umani accettabili per la risposta. Vedere Negoziazione dei contenuti . Accept-Language: en-US Permanente RFC  2616 , 7231
Access-Control-Request-Method,
Access-Control-Request-Headers		 Avvia una richiesta di condivisione di risorse tra origini con Origin (sotto). Access-Control-Request-Method: GET Permanente: standard
Autorizzazione Credenziali di autenticazione per l' autenticazione HTTP . Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== Permanente
Controllo cache Utilizzato per specificare le direttive che devono essere rispettate da tutti i meccanismi di memorizzazione nella cache lungo la catena richiesta-risposta. Cache-Control: no-cache Permanente
Connessione Opzioni di controllo per la connessione corrente e l'elenco dei campi di richiesta hop-by-hop.

Non deve essere utilizzato con HTTP/2.

Connection: keep-alive

Connection: Upgrade

Permanente
Codifica del contenuto Il tipo di codifica utilizzata sui dati. Vedere Compressione HTTP . Content-Encoding: gzip Permanente
Contenuto-Lunghezza La lunghezza del corpo della richiesta in ottetti (byte a 8 bit). Content-Length: 348 Permanente
Contenuto-MD5 Una somma binaria MD5 con codifica Base64 del contenuto del corpo della richiesta. Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== Obsoleto
Tipo di contenuto Il tipo di supporto del corpo della richiesta (utilizzato con le richieste POST e PUT). Content-Type: application/x-www-form-urlencoded Permanente
biscotto Un cookie HTTP precedentemente inviato dal server con Set-Cookie (sotto). Cookie: $Version=1; Skin=new; Permanente: standard
Data La data e l'ora in cui il messaggio è stato originato (in formato "HTTP-date" come definito da RFC 7231 Date/Time Formats ). Date: Tue, 15 Nov 1994 08:12:31 GMT Permanente
Aspettarsi Indica che il client richiede determinati comportamenti del server. Expect: 100-continue Permanente
inoltrato Divulgare le informazioni originali di un client che si connette a un server Web tramite un proxy HTTP. Forwarded: for=192.0.2.60;proto=http;by=203.0.113.43 Forwarded: for=192.0.2.43, for=198.51.100.17 Permanente
A partire dal L'indirizzo email dell'utente che effettua la richiesta. From: user@example.com Permanente
Ospite Il nome di dominio del server (per l'hosting virtuale ) e il numero di porta TCP su cui il server è in ascolto. Il numero di porta può essere omesso se la porta è la porta standard per il servizio richiesto.

Obbligatorio da HTTP/1.1. Se la richiesta viene generata direttamente in HTTP/2, non dovrebbe essere utilizzata.

Host: en.wikipedia.org:8080

Host: en.wikipedia.org

Permanente
Impostazioni HTTP2 Una richiesta che aggiorna da HTTP/1.1 a HTTP/2 DEVE includere esattamente un HTTP2-Settingcampo di intestazione. Il HTTP2-Settingscampo di intestazione è un campo di intestazione specifico della connessione che include i parametri che regolano la connessione HTTP/2, forniti prima che il server accetti la richiesta di aggiornamento. HTTP2-Settings: token64 Permanente: standard
If-Match Eseguire l'azione solo se l'entità fornita dal client corrisponde alla stessa entità sul server. Questo è principalmente per metodi come PUT per aggiornare solo una risorsa se non è stata modificata dall'ultimo aggiornamento dell'utente. If-Match: "737060cd8c284d8af7ad3082f209582d" Permanente
Se-Modificato-da Consente di restituire un 304 Not Modified se il contenuto è invariato. If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT Permanente
Se-nessuno-match Consente la restituzione di un 304 Not Modified se il contenuto è invariato, vedere HTTP ETag . If-None-Match: "737060cd8c284d8af7ad3082f209582d" Permanente
Se-Range Se l'entità è invariata, inviami la parte o le parti che mi mancano; altrimenti, inviami l'intera nuova entità. If-Range: "737060cd8c284d8af7ad3082f209582d" Permanente
Se-Non modificato-Da Invia la risposta solo se l'entità non è stata modificata da un momento specifico. If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT Permanente
Max-Avanti Limita il numero di volte in cui il messaggio può essere inoltrato tramite proxy o gateway. Max-Forwards: 10 Permanente
Origine Avvia una richiesta per la condivisione delle risorse tra le origini (chiede al server i campi di risposta Access-Control-* ). Origin: http://www.example-social-network.com Permanente: standard
pragma Campi specifici dell'implementazione che possono avere vari effetti in qualsiasi punto della catena richiesta-risposta. Pragma: no-cache Permanente
Preferire Consente al client di richiedere che determinati comportamenti vengano utilizzati da un server durante l'elaborazione di una richiesta. Prefer: return=representation Permanente RFC 7240
Proxy-Autorizzazione Credenziali di autorizzazione per la connessione a un proxy. Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== Permanente
Gamma Richiedi solo una parte di un'entità. I byte sono numerati da 0. Vedere Servizio di byte . Range: bytes=500-999 Permanente
Referente [ sic ] Questo è l'indirizzo della pagina Web precedente da cui è stato seguito un collegamento alla pagina attualmente richiesta. (La parola "referrer" è stata scritta in modo errato nella RFC e nella maggior parte delle implementazioni al punto che è diventata un uso standard ed è considerata una terminologia corretta) Referer: http://en.wikipedia.org/wiki/Main_Page Permanente
TE Le codifiche di trasferimento che l'interprete è disposto ad accettare: possono essere utilizzati gli stessi valori del campo di intestazione della risposta Transfer-Encoding, più il valore "trailers" (relativo al metodo di trasferimento " chunked ") per notificare il server che si aspetta di ricevere ricevere campi aggiuntivi nel trailer dopo l'ultimo blocco di dimensioni zero.

È trailerssupportato solo in HTTP/2.

TE: trailers, deflate Permanente
trailer Il valore del campo generale Trailer indica che il dato insieme di campi di intestazione è presente nel trailer di un messaggio codificato con codifica di trasferimento a blocchi . Trailer: Max-Forwards Permanente
Trasferimento-codifica La forma di codifica utilizzata per trasferire in modo sicuro l'entità all'utente. I metodi attualmente definiti sono: chunked , compress, deflate, gzip, identity.

Non deve essere utilizzato con HTTP/2.

Transfer-Encoding: chunked Permanente
Agente utente La stringa dell'agente utente dell'agente utente. User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/12.0 Permanente
Aggiornamento Chiedi al server di eseguire l'aggiornamento a un altro protocollo.

Non deve essere utilizzato in HTTP/2.

Upgrade: h2c, HTTPS/1.3, IRC/6.9, RTA/x11, websocket Permanente
attraverso Informa il server dei proxy attraverso i quali è stata inviata la richiesta. Via: 1.0 fred, 1.1 example.com (Apache/1.1) Permanente
Avvertimento Un avvertimento generale sui possibili problemi con il corpo dell'entità. Warning: 199 Miscellaneous warning Permanente


Campi di richiesta comuni non standard

Nome del campo Descrizione Esempio
Richieste di upgrade-non sicure Dice a un server che (presumibilmente nel mezzo di una migrazione HTTP -> HTTPS) ospita contenuti misti che il client preferirebbe il reindirizzamento a HTTPS e che può gestire Content-Security-Policy: upgrade-insecure-requests

Non deve essere utilizzato con HTTP/2

Upgrade-Insecure-Requests: 1
X-Richiesto-Con Utilizzato principalmente per identificare le richieste Ajax (la maggior parte dei framework JavaScript invia questo campo con il valore XMLHttpRequest); identifica anche le app Android utilizzando WebView X-Requested-With: XMLHttpRequest
DNT Richiede a un'applicazione Web di disabilitare il monitoraggio di un utente. Questa è la versione di Mozilla del campo di intestazione X-Do-Not-Track (da Firefox 4.0 Beta 11). Safari e IE9 supportano anche questo campo. Il 7 marzo 2011, una bozza di proposta è stata presentata all'IETF. Il W3C Tracking Protection Working Group sta elaborando una specifica. DNT: 1 (Non tracciare abilitato)

DNT: 0 (Non tracciare disabilitato)

X-Forwarded-Per Uno standard di fatto per identificare l'indirizzo IP di origine di un client che si connette a un server Web tramite un proxy HTTP o un sistema di bilanciamento del carico. Sostituito dall'intestazione inoltrata . X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For: 129.78.138.66, 129.78.64.103

X-Forwarded-Host Uno standard de facto per identificare l'host originale richiesto dal client nell'intestazione della Hostrichiesta HTTP, poiché il nome host e/o la porta del proxy inverso (bilanciamento del carico) possono differire dal server di origine che gestisce la richiesta. Sostituito dall'intestazione inoltrata . X-Forwarded-Host: en.wikipedia.org:8080

X-Forwarded-Host: en.wikipedia.org

X-Forwarded-Proto Uno standard de facto per identificare il protocollo di origine di una richiesta HTTP, poiché un proxy inverso (o un sistema di bilanciamento del carico) può comunicare con un server Web utilizzando HTTP anche se la richiesta al proxy inverso è HTTPS. Una forma alternativa dell'intestazione (X-ProxyUser-Ip) viene utilizzata dai client di Google che comunicano con i server di Google. Sostituito dall'intestazione inoltrata . X-Forwarded-Proto: https
Https front-end Campo di intestazione non standard utilizzato dalle applicazioni Microsoft e dai bilanciatori di carico Front-End-Https: on
X-Http-Method-Override Richiede a un'applicazione Web di sovrascrivere il metodo specificato nella richiesta (tipicamente POST) con il metodo fornito nel campo dell'intestazione (tipicamente PUT o DELETE). Questo può essere usato quando un agente utente o un firewall impedisce l'invio diretto dei metodi PUT o DELETE (notare che questo è un bug nel componente software, che dovrebbe essere corretto, o una configurazione intenzionale, nel qual caso potrebbe essere evitato la cosa sbagliata da fare). X-HTTP-Method-Override: DELETE
X-ATT-ID dispositivo Consente un'analisi più semplice del MakeModel/Firmware che di solito si trova nella stringa User-Agent dei dispositivi AT&T X-Att-Deviceid: GT-P7320/P7320XXLPG
Profilo X-Wap Collegamenti a un file XML su Internet con una descrizione completa e dettagli sul dispositivo attualmente connesso. Nell'esempio a destra c'è un file XML per un AT&T Samsung Galaxy S2. x-wap-profile: http://wap.samsungmobile.com/uaprof/SGH-I777.xml
Connessione proxy Implementato come un fraintendimento delle specifiche HTTP. Comune a causa di errori nelle implementazioni delle prime versioni HTTP. Ha esattamente le stesse funzionalità del campo Connection standard.

Non deve essere utilizzato con HTTP/2.

Proxy-Connection: keep-alive
X-UIDH Inserimento deep packet lato server di un ID univoco che identifica i clienti di Verizon Wireless ; noto anche come "perma-cookie" o "supercookie" X-UIDH: ...
X-Csrf-Token Utilizzato per prevenire la falsificazione delle richieste tra siti . I nomi di intestazione alternativi sono: X-CSRFTokeneX-XSRF-TOKEN X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
X-Richiesta-ID,

X-Correlazione-ID

Correla le richieste HTTP tra un client e un server. X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5
Salvare i dati L'intestazione della richiesta di suggerimento del client Save-Data disponibile nei browser Chrome, Opera e Yandex consente agli sviluppatori di fornire applicazioni più leggere e veloci agli utenti che attivano la modalità di salvataggio dei dati nel proprio browser. Save-Data: on

Campi di risposta

Campi di risposta standard

Nome del campo Descrizione Esempio Stato Standard
Accetta-CH Richiede suggerimenti client HTTP Accept-CH: UA, Platform Sperimentale RFC  8942
Controllo-Accesso-Consenti-Origine,
Controllo-Accesso-Consenti-Credenziali,
Controllo-Accesso-Esponi-Intestazioni,
Controllo-Accesso-Max-Età,
Controllo-Accesso-Consenti-Metodi,
Controllo-Accesso-Consenti-Intestazioni 		Specificare quali siti Web possono partecipare alla condivisione di risorse tra le origini Access-Control-Allow-Origin: * Permanente: standard
Accetta-Patch Specifica quali formati di documento patch supporta questo server Accept-Patch: text/example;charset=utf-8 Permanente
Accetta-Range Quali tipi di intervallo di contenuto parziale questo server supporta tramite byte serving Accept-Ranges: bytes Permanente
Età L'età in cui l'oggetto è stato in una cache proxy in secondi Age: 12 Permanente
Permettere Metodi validi per una risorsa specificata. Da utilizzare per un metodo 405 non consentito Allow: GET, HEAD Permanente
Alt-Svc Un server utilizza l'intestazione "Alt-Svc" (che significa Servizi alternativi) per indicare che è possibile accedere alle sue risorse anche da una posizione di rete diversa (host o porta) o utilizzando un protocollo diverso

Quando si utilizza HTTP/2, i server dovrebbero invece inviare un frame ALTSVC.

Alt-Svc: http/1.1="http2.example.com:8001"; ma=7200 Permanente
Controllo cache Indica a tutti i meccanismi di memorizzazione nella cache dal server al client se possono memorizzare nella cache questo oggetto. Si misura in secondi Cache-Control: max-age=3600 Permanente
Connessione Opzioni di controllo per la connessione corrente e l'elenco dei campi di risposta hop-by-hop.

Non deve essere utilizzato con HTTP/2.

Connection: close Permanente
Contenuto-Disposizione Un'opportunità per aprire una finestra di dialogo "Download file" per un tipo MIME noto con formato binario o suggerire un nome file per il contenuto dinamico. Le virgolette sono necessarie con caratteri speciali. Content-Disposition: attachment; filename="fname.ext" Permanente
Codifica del contenuto Il tipo di codifica utilizzata sui dati. Vedere Compressione HTTP . Content-Encoding: gzip Permanente
Contenuto-Lingua La lingua naturale o le lingue del pubblico previsto per il contenuto allegato Content-Language: da Permanente
Contenuto-Lunghezza La lunghezza del corpo della risposta in ottetti (byte a 8 bit) Content-Length: 348 Permanente
Contenuto-Posizione Una posizione alternativa per i dati restituiti Content-Location: /index.htm Permanente
Contenuto-MD5 Una somma binaria MD5 codificata in Base64 del contenuto della risposta Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== Obsoleto
Gamma di contenuti Dove in un messaggio completo questo messaggio parziale appartiene? Content-Range: bytes 21010-47021/47022 Permanente
Tipo di contenuto Il tipo MIME di questo contenuto Content-Type: text/html; charset=utf-8 Permanente
Data La data e l'ora in cui è stato inviato il messaggio (in formato "HTTP-date" come definito dalla RFC 7231) Date: Tue, 15 Nov 1994 08:12:31 GMT Permanente
Delta-Base Specifica il tag dell'entità di codifica delta della risposta. Delta-Base: "abc" Permanente
ETag Un identificatore per una versione specifica di una risorsa, spesso un riassunto del messaggio ETag: "737060cd8c284d8af7ad3082f209582d" Permanente
Scade Fornisce la data/ora dopo la quale la risposta è considerata obsoleta (in formato "HTTP-date" come definito da RFC 7231) Expires: Thu, 01 Dec 1994 16:00:00 GMT Permanente: standard
IO SONO Manipolazioni di istanza applicate alla risposta. IM: feed Permanente
Ultima modifica La data dell'ultima modifica per l'oggetto richiesto (in formato "HTTP-date" come definito da RFC 7231) Last-Modified: Tue, 15 Nov 1994 12:45:26 GMT Permanente
Collegamento Utilizzato per esprimere una relazione tipizzata con un'altra risorsa, dove il tipo di relazione è definito da RFC 5988 Link: </feed>; rel="alternate" Permanente
Posizione Utilizzato nel reindirizzamento o quando è stata creata una nuova risorsa.
  • Esempio 1: Location: http://www.w3.org/pub/WWW/People.html
  • Esempio 2: Location: /pub/WWW/People.html
Permanente
P3P Questo campo dovrebbe impostare la politica P3P , sotto forma di P3P:CP="your_compact_policy". Tuttavia, il P3P non è decollato, la maggior parte dei browser non l'ha mai implementato completamente, molti siti Web hanno impostato questo campo con testo di politica falso, che è stato sufficiente per ingannare i browser sull'esistenza della politica P3P e concedere autorizzazioni per i cookie di terze parti . P3P: CP="This is not a P3P policy! See https://en.wikipedia.org/wiki/Special:CentralAutoLogin/P3P for more info." Permanente
pragma Campi specifici dell'implementazione che possono avere vari effetti in qualsiasi punto della catena richiesta-risposta. Pragma: no-cache Permanente
Preferenza applicata Indica quali token Prefer sono stati onorati dal server e applicati all'elaborazione della richiesta. Preference-Applied: return=representation Permanente RFC 7240
Autenticazione proxy Richiedi l'autenticazione per accedere al proxy. Proxy-Authenticate: Basic Permanente
Pin-chiave pubblica HTTP Public Key Pinning , annuncia l'hash del certificato TLS autentico del sito web Public-Key-Pins: max-age=2592000; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; Permanente
Riprova dopo Se un'entità è temporaneamente non disponibile, indica al client di riprovare più tardi. Il valore potrebbe essere un periodo di tempo specificato (in secondi) o una data HTTP.
  • Esempio 1: Retry-After: 120
  • Esempio 2: Retry-After: Fri, 07 Nov 2014 23:59:59 GMT

Permanente

RFC  2616 , 7231
server Un nome per il server Server: Apache/2.4.1 (Unix) Permanente
Un cookie HTTP Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1 Permanente: standard
Strict-Transport-Sicurezza Una politica HSTS che informa il client HTTP per quanto tempo memorizzare nella cache la politica solo HTTPS e se ciò si applica ai sottodomini. Strict-Transport-Security: max-age=16070400; includeSubDomains Permanente: standard
trailer Il valore del campo generale Trailer indica che il dato insieme di campi di intestazione è presente nel trailer di un messaggio codificato con codifica di trasferimento a blocchi . Trailer: Max-Forwards Permanente
Trasferimento-codifica La forma di codifica utilizzata per trasferire in modo sicuro l'entità all'utente. I metodi attualmente definiti sono: chunked , compress, deflate, gzip, identity.

Non deve essere utilizzato con HTTP/2.

Transfer-Encoding: chunked Permanente
Tk Intestazione Tracking Status, valore suggerito da inviare in risposta a un DNT (do-not-track), valori possibili: 
"!" — under construction
"?" — dynamic
"G" — gateway to multiple parties
"N" — not tracking
"T" — tracking
"C" — tracking with consent
"P" — tracking only if consented
"D" — disregarding DNT
"U" — updated
Tk: ? Permanente
Aggiornamento Chiedi al client di eseguire l'aggiornamento a un altro protocollo.

Non deve essere utilizzato in HTTP/2

Upgrade: h2c, HTTPS/1.3, IRC/6.9, RTA/x11, websocket Permanente
Variare Indica ai proxy downstream come abbinare le intestazioni di richiesta future per decidere se la risposta memorizzata nella cache può essere utilizzata anziché richiederne una nuova dal server di origine.
  • Esempio 1: Vary: *
  • Esempio 2: Vary: Accept-Language
Permanente
attraverso Informa il client dei proxy attraverso i quali è stata inviata la risposta. Via: 1.0 fred, 1.1 example.com (Apache/1.1) Permanente
Avvertimento Un avvertimento generale sui possibili problemi con il corpo dell'entità. Warning: 199 Miscellaneous warning Permanente
Autenticazione WWW Indica lo schema di autenticazione da utilizzare per accedere all'entità richiesta. WWW-Authenticate: Basic Permanente
X-Frame-Opzioni Protezione clickjacking : nega - nessun rendering all'interno di un frame, sameorigin - nessun rendering se l'origine non corrisponde, allow-from - consenti dalla posizione specificata, allowall - non standard, consenti da qualsiasi posizione X-Frame-Options: deny Obsoleto

Campi di risposta non standard comuni

Nome del campo Descrizione Esempio
Politica di sicurezza dei contenuti,
X-Content-Security-Policy,
X-WebKit-CSP 		Definizione della politica di sicurezza dei contenuti . X-WebKit-CSP: default-src 'self'
Aspettati-CT Notifica di preferire l'applicazione della trasparenza del certificato . Expect-CT: max-age=604800, enforce, report-uri="https://example.example/report"
NEL Utilizzato per configurare la registrazione delle richieste di rete. NEL: { "report_to": "name_of_reporting_group", "max_age": 12345, "include_subdomains": false, "success_fraction": 0.0, "failure_fraction": 1.0 }
Permessi-Politica Per consentire o disabilitare diverse funzionalità o API del browser. Permissions-Policy: fullscreen=(), camera=(), microphone=(), geolocation=(), interest-cohort=()
ricaricare Utilizzato nel reindirizzamento o quando è stata creata una nuova risorsa. Questo aggiornamento reindirizza dopo 5 secondi. Estensione dell'intestazione introdotta da Netscape e supportata dalla maggior parte dei browser web. Definito dallo standard HTML Refresh: 5; url=http://www.w3.org/pub/WWW/People.html
Report-To Indica all'agente utente di archiviare gli endpoint di reporting per un'origine. Report-To: { "group": "csp-endpoint", "max_age": 10886400, "endpoints": [ { "url": "https-url-of-site-which-collects-reports" } ] }
Stato Campo di intestazione CGI che specifica lo stato della risposta HTTP. Le normali risposte HTTP utilizzano invece una "Linea di stato" separata, definita da RFC 7230. Status: 200 OK
Timing-Consenti-Origine L' Timing-Allow-Originintestazione della risposta specifica le origini a cui è consentito vedere i valori degli attributi recuperati tramite le funzionalità dell'API di sincronizzazione delle risorse , che altrimenti verrebbero segnalate come zero a causa di restrizioni tra le origini. Timing-Allow-Origin: *

Timing-Allow-Origin: <origin>[, <origin>]*

X-Contenuto-Durata Fornire la durata dell'audio o del video in secondi; supportato solo dai browser Gecko X-Content-Duration: 42.666
X-Content-Type-Opzioni L'unico valore definito, "nosniff", impedisce a Internet Explorer di rilevare tramite MIME una risposta al di fuori del tipo di contenuto dichiarato. Questo vale anche per Google Chrome , quando si scaricano le estensioni. X-Content-Type-Options: nosniff
X-Powered-By Specifica la tecnologia (es. ASP.NET, PHP, JBoss) che supporta l'applicazione web (i dettagli della versione sono spesso in X-Runtime, X-Version, o X-AspNet-Version) X-Powered-By: PHP/5.4.0
X-Reindirizzamento-by Specifica il componente responsabile di un particolare reindirizzamento. X-Redirect-By: WordPress
X-Redirect-By: Polylang
X-Request-ID,
X-Correlation-ID 		Correla le richieste HTTP tra un client e un server. X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5
Compatibile con X-UA Raccomanda il motore di rendering preferito (spesso una modalità di compatibilità con le versioni precedenti) da utilizzare per visualizzare il contenuto. Utilizzato anche per attivare Chrome Frame in Internet Explorer. In HTML Standard, IE=edgeviene definito solo il valore. X-UA-Compatible: IE=edge
X-UA-Compatible: IE=EmulateIE7
X-UA-Compatible: Chrome=1
Protezione X-XSS Filtro cross-site scripting (XSS) X-XSS-Protection: 1; mode=block

Effetti dei campi selezionati

Evitare la memorizzazione nella cache

Se un server Web risponde con Cache-Control: no-cacheun browser Web o un altro sistema di memorizzazione nella cache (proxy intermedi) non deve utilizzare la risposta per soddisfare le richieste successive senza prima aver verificato con il server di origine (questo processo è chiamato convalida). Questo campo di intestazione fa parte della versione HTTP 1.1 e viene ignorato da alcune cache e browser. Può essere simulato impostando il Expiresvalore del campo di intestazione della versione 1.0 HTTP su un'ora precedente al tempo di risposta. Si noti che no-cache non istruisce il browser o i proxy sull'opportunità o meno di memorizzare nella cache il contenuto. Dice semplicemente al browser e ai proxy di convalidare il contenuto della cache con il server prima di utilizzarlo (questo viene fatto utilizzando gli attributi If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match menzionati sopra). L'invio di un valore no-cache indica quindi a un browser o proxy di non utilizzare il contenuto della cache semplicemente in base a "criteri di aggiornamento" del contenuto della cache. Un altro modo comune per impedire che i vecchi contenuti vengano mostrati all'utente senza convalida è Cache-Control: max-age=0. Questo indica all'interprete che il contenuto è obsoleto e deve essere convalidato prima dell'uso.

Il campo di intestazione ha lo Cache-Control: no-storescopo di indicare a un'applicazione browser di fare il possibile per non scriverlo su disco (cioè non memorizzarlo nella cache).

La richiesta che una risorsa non debba essere memorizzata nella cache non garantisce che non venga scritta su disco. In particolare, la definizione HTTP/1.1 distingue tra archivi storici e cache. Se l'utente torna a una pagina precedente, un browser potrebbe ancora mostrarti una pagina che è stata archiviata su disco nell'archivio della cronologia. Questo è un comportamento corretto secondo la specifica. Molti interpreti mostrano un comportamento diverso nel caricamento delle pagine dall'archivio cronologia o dalla cache a seconda che il protocollo sia HTTP o HTTPS.

Anche il Cache-Control: no-cachecampo di intestazione HTTP/1.1 è destinato all'uso nelle richieste effettuate dal client. È un mezzo per il browser per dire al server e alle cache intermedie che desidera una nuova versione della risorsa. Il Pragma: no-cachecampo di intestazione, definito nella specifica HTTP/1.0, ha lo stesso scopo. Tuttavia, è definito solo per l'intestazione della richiesta. Il suo significato in un'intestazione di risposta non è specificato. Il comportamento di Pragma: no-cachein una risposta è specifico dell'implementazione. Sebbene alcuni interpreti prestino attenzione a questo campo nelle risposte, l'RFC HTTP/1.1 avverte specificamente di non fare affidamento su questo comportamento.

Guarda anche

Riferimenti

link esterno