HTTP 请求头参考
HTTP Header 快速参考 · 请求响应 · 详细说明 · 本地检索
全部
Cache-Control通用缓存控制策略
Connection通用连接管理
Date通用消息创建时间
Accept请求可接受响应类型
Accept-Encoding请求可接受编码
Accept-Language请求可接受语言
Authorization请求认证信息
Content-Type (Request)请求请求体 MIME 类型
Cookie请求Cookie 数据
Host请求目标主机
Referer请求来源页面
User-Agent请求客户端信息
Content-Type (Response)响应响应体 MIME 类型
Content-Encoding响应响应体编码
Content-Length响应响应体字节数
ETag响应资源标识符
Last-Modified响应最后修改时间
Location响应重定向目标
Set-Cookie响应设置 Cookie
WWW-Authenticate响应认证方法
Access-Control-Allow-Origin响应允许跨域源
Access-Control-Allow-Methods响应允许跨域方法
Access-Control-Allow-Headers响应允许跨域请求头
Access-Control-Allow-Credentials响应允许跨域凭证
Access-Control-Expose-Headers响应暴露响应头
Content-Security-Policy响应内容安全策略
Strict-Transport-Security响应强制 HTTPS (HSTS)
X-Content-Type-Options响应禁止 MIME 嗅探
X-Frame-Options响应点击劫持防护
Referrer-Policy响应Referrer 策略
Header 详情
Cache-Control
通用头RFC
用于控制缓存机制的指令,可以出现在请求和响应中,覆盖 Expires 头。
语法格式
Cache-Control: <directive>[, <directive>]*常用示例
Cache-Control: no-cache强制重新验证,可以使用缓存但需确认有效性
Cache-Control: no-store不缓存任何版本
Cache-Control: max-age=3600缓存 3600 秒(1 小时)
Cache-Control: public, max-age=86400公共缓存,缓存 1 天
Cache-Control: private, max-age=300仅浏览器缓存 5 分钟
指令说明
| 指令 | 说明 | 示例 |
|---|---|---|
no-cache | 使用前必须重新验证 | no-cache |
no-store | 完全不缓存 | no-store |
max-age=<seconds> | 最大缓存时间(秒) | max-age=3600 |
s-maxage=<seconds> | 共享缓存最大时间 | s-maxage=3600 |
public | 可以被任何缓存存储 | public |
private | 仅浏览器可以缓存 | private |
must-revalidate | 过期后必须重新验证 | must-revalidate |
immutable | 内容不会改变 | immutable |
浏览器支持
🌐HTTP/1.1+
注意事项
- HTTP/1.1 标准
- 优先级高于 Expires
- 可以同时使用多个指令
相关 Header
HTTP 请求头参考
HTTP 请求头/响应头参考工具收录完整的 HTTP Headers 信息,包括通用头、请求头、响应头、CORS 相关头(Access-Control-*)、缓存头(Cache-Control/ETag)、安全头(CSP/HSTS/X-Frame-Options)等。
功能特点
- Header 完整:覆盖常用 HTTP 请求头和响应头
- 分类浏览:按通用、请求、响应、CORS、缓存、安全等分类
- 语法格式:标准语法格式和常用示例
- 指令说明:复杂 Header 的详细指令说明
- 浏览器支持:各 Header 的浏览器兼容性
Header 分类
通用 Header
- Cache-Control:缓存控制策略
- Connection:连接管理
- Date:消息创建时间
请求 Header
- Accept:可接受响应类型
- Accept-Encoding:可接受编码
- Accept-Language:可接受语言
- Authorization:认证信息
- Content-Type (Request):请求体 MIME 类型
- Cookie:Cookie 数据
- Host:目标主机
- Referer:来源页面
- User-Agent:客户端信息
响应 Header
- Content-Type (Response):响应体 MIME 类型
- Content-Encoding:响应体编码
- Content-Length:响应体字节数
- ETag:资源标识符(缓存验证)
- Last-Modified:最后修改时间
- Location:重定向目标
- Set-Cookie:设置 Cookie
- WWW-Authenticate:认证方法
CORS Header
- Access-Control-Allow-Origin:允许跨域源
- Access-Control-Allow-Methods:允许跨域方法
- Access-Control-Allow-Headers:允许跨域请求头
- Access-Control-Allow-Credentials:允许跨域凭证
- Access-Control-Expose-Headers:暴露响应头
安全 Header
- Content-Security-Policy:内容安全策略(防 XSS)
- Strict-Transport-Security:强制 HTTPS(HSTS)
- X-Content-Type-Options:禁止 MIME 嗅探
- X-Frame-Options:点击劫持防护
- Referrer-Policy:Referrer 策略
使用场景
- API 开发:正确设置请求和响应头
- CORS 调试:解决跨域问题
- 缓存优化:配置合理的缓存策略
- 安全加固:配置安全相关的 HTTP 头
- 面试复习:系统学习 HTTP 协议知识
最佳实践
- CORS 设置需同时考虑简单请求和预检请求
- Cache-Control 优先级高于 Expires
- CSP 初始使用 Report-Only 模式测试
- 敏感 Cookie 设置 HttpOnly 和 Secure