HTTP 请求/响应头速查

指定请求的服务器域名（含端口）。

Host: example.com:8080

客户端标识：浏览器/OS/版本。

Mozilla/5.0 (...)

当前请求的来源页面 URL。

https://google.com/

客户端可接受的响应内容类型。

Accept: text/html, application/json

可接受的内容编码（压缩）。

gzip, br, deflate

可接受的语言。

zh-CN, en;q=0.9

连接管理：keep-alive / close / Upgrade。

keep-alive

服务器生成响应的时间。

服务器软件标识。

nginx/1.25.0

认证凭证：Basic / Bearer / Digest。

Bearer eyJhbGc...

401 时挑战客户端进行认证。

Basic realm="api"

代理服务器认证凭证。

407 代理认证挑战。

缓存策略指令：max-age / no-cache / no-store / public / private。

public, max-age=31536000

资源版本标识，配合 If-None-Match 做协商缓存。

"33a64df5"

资源最后修改时间，配合 If-Modified-Since。

资源过期时间（HTTP/1.0），优先级低于 Cache-Control。

资源在代理缓存中存在的秒数。

指明哪些请求头影响缓存命中。

Accept-Encoding

配合 ETag 做条件请求，匹配则返回 304。

资源未修改则返回 304。

ETag 匹配才执行（用于乐观锁）。

资源未修改才执行。

范围请求（断点续传 / 视频流）。

Range: bytes=0-1023

声明服务器支持的范围单位。

bytes

206 响应中返回的字节范围。

bytes 0-1023/2048

跨域请求的源。

https://app.example.com

允许的跨域来源（* 或具体域名）。

*

预检请求允许的方法。

GET, POST, PUT, DELETE

预检请求允许的自定义头。

是否允许携带 Cookie。

true

允许 JS 读取的响应头白名单。

预检结果缓存秒数。

86400

预检请求声明实际方法。

预检请求声明实际自定义头。

客户端发送给服务器的 Cookie。

服务器设置 Cookie。

sid=abc; HttpOnly; Secure; SameSite=Lax

HSTS，强制使用 HTTPS。

max-age=63072000; includeSubDomains; preload

CSP，限制资源加载来源。

default-src 'self'

禁止 MIME 嗅探。

nosniff

是否允许被 iframe 嵌入。

DENY / SAMEORIGIN

旧版 XSS 过滤器开关（现代浏览器已弃用，推荐用 CSP）。

控制 Referer 头的发送策略。

no-referrer-when-downgrade

控制浏览器特性使用权限。

camera=(), microphone=()

COOP，隔离跨源窗口。

same-origin

COEP，控制跨源资源加载。

require-corp

CORP，限制资源被跨源加载。

实体的媒体类型与字符集。

application/json; charset=utf-8

实体大小（字节）。

实体的编码方式（压缩）。

gzip

实体的语言。

指示浏览器以附件下载还是内嵌显示。

attachment; filename="report.pdf"

资源的备用 URL。

重定向的目标 URL（3xx / 201）。

资源支持的方法列表（405 响应）。

GET, HEAD, POST

503 / 429 时建议客户端等待秒数或时间。

120

协议升级请求（如 WebSocket）。

websocket