Les entêtes HTTP, aussi nommé «HTTP Request fields» en anglais, sont les entêtes de données envoyées au client (généralement un navigateur Web) dans une transaction de protocole HTTP. Il envoi des lignes de données de format ASCII, appelé champ et terminé par une ligne vide correspondant au RFC 822.
Liste des champs d'entête
Voici la liste des champs d'entêtes reconnu par le protocole HTTP :
Nom | Description |
---|---|
Accept: | Ce champ d'entête permet d'indiquer un schéma de la réponse accepté. Chacune des données séparés par un point-virgule. |
Accept-CH: | Ce champ d'entête permet d'indiquer au serveur les entêtes Client Hints que le client doit inclure dans les requêtes suivantes. |
Accept-CH-Lifetime: | Ce champ d'entête permet d'indiquer au serveur la persistance de la valeur d'entête Accept-CH spécifiant pour quels entêtes Client Hints le client doit inclure dans les requêtes suivantes. |
Accept-Charset: | Ce champ d'entête permet d'indiquer l'ensemble de caractères que le client est capable de comprendre. |
Accept-Encoding: | Ce champ d'entête permet d'indiquer l'encodage de contenu utilisés pour la transmission. |
Accept-Language: | Ce champ d'entête permet d'indiquer la valeur de langage préféré dans l'envoi de la réponse. |
Accept-Patch: | Ce champ d'entête permet d'indiquer le type de support que le serveur peut comprendre. |
Accept-Ranges: | Ce champ d'entête permet d'indiquer un marqueur utilisé par le serveur pour annoncer sa prise en charge des requêtes partielles. |
Access-Control-Allow-Credentials: | Ce champ d'entête permet d'indiquer aux navigateurs Web s'ils doivent exposer la réponse au code JavaScript frontal lorsque le mode d'informations d'identification de la requête (Request.credentials) est dans include. |
Access-Control-Allow-Headers: | Ce champ d'entête permet d'indiquer une réponse à une requête de contrôle en amont incluant les entêtes Access-Control-Request-Headers pour indiquer quels entêtes HTTP peuvent être utilisés pendant la requête réelle. |
Access-Control-Allow-Methods: | Ce champ d'entête permet d'indiquer les méthodes autorisées à accéder à la ressource en réponse à une requête de pré-vérification, aussi connu sous l'expression anglaise preflight request. |
Access-Control-Allow-Origin: | Ce champ d'entête permet d'indiquer une réponse indiquant si les ressources peuvent être partagées avec une origine spécifiée. |
Access-Control-Expose-Headers: | Ce champ d'entête permet d'indiquer quels entêtes peuvent être exposés dans le cadre de la réponse en répertoriant leurs noms. |
Access-Control-Max-Age: | Ce champ d'entête permet d'indiquer pour combien de temps les résultats d'une requête de contrôle en amont (soit les informations contenues dans les entêtes Access-Control-Allow-Methods et Access-Control-Allow-Headers) peuvent être mis en cache. |
Access-Control-Request-Headers: | Ce champ d'entête permet d'indiquer à quel moment une requête de pré-vérification (preflight request) est faite vers le serveur pour savoir quand les entêtes seront utilisés après la pré-vérification. |
Access-Control-Request-Method: | Ce champ d'entête permet d'indiquer au navigateur Web, lors de l'émission d'une requête de contrôle en amont, la méthode HTTP que le serveur utilisera lors de la requête réelle. |
Age: | Ce champ d'entête permet d'indiquer le nombre de secondes pendant lequel la ressource a été entreposée dans un proxy spécifié. |
Allow: | Ce champ d'entête permet d'indiquer les méthodes étant supportées par une ressource. |
Alt-Svc: | Ce champ d'entête permet d'indiquer d'autres façon d'accéder au répertoire de ce site Web. |
Authorization: | Ce champ d'entête permet d'indiquer les informations d'authentification utilisé. |
Cache-Control: | Ce champ d'entête permet d'indiquer la politique de cache des contenus, autant sur l'aspect de la requêtes que de la réponse. |
ChargeTo: | Ce champ d'entête permet d'indiquer les informations de compte pour les coûts d'applications de la méthode spécifié. |
Clear-Site-Data: | Ce champ d'entête permet d'indiquer qu'il faut effacer les données de navigation (Cookies, entreposage et cache) associées au site Web du demandeur. Il permet aux développeurs Web d'avoir plus de contrôle sur les données entreposées localement par un navigateur pour leurs origines. |
CloudFront-Forwarded-Proto: | Ce champ d'entête permet d'indiquer que CloudFront n'ajoute pas l'entête avant de transmettre la requête à votre origine. |
CloudFront-Is-Desktop-Viewer: | Ce champ d'entête permet d'indiquer que CloudFront n'ajoute pas l'entête avant de transmettre la requête à votre origine pour un poste de travail. |
CloudFront-Is-Mobile-Viewer: | Ce champ d'entête permet d'indiquer que CloudFront n'ajoute pas l'entête avant de transmettre la requête à votre origine pour un mobile. |
CloudFront-Is-Tablet-Viewer: | Ce champ d'entête permet d'indiquer que CloudFront n'ajoute pas l'entête avant de transmettre la requête à votre origine pour une tablette. |
CloudFront-Viewer-Country: | Ce champ d'entête permet d'indiquer le pays détecté par CloudFront. |
Connection: | Ce champ d'entête permet d'indiquer si la connexion réseau doit rester encore ouverte après la fin de la transaction actuel. |
Content-Disposition: | Ce champ d'entête permet d'indiquer si le contenu doit être affiché en ligne dans le navigateur Web, soit en tant que page Web ou dans une page Web, ou en pièce jointe est téléchargeable et enregistré localement. |
Content-Encoding: | Ce champ d'entête permet d'indiquer la compression pour le type de média. Lorsqu'elle est présente, cette valeur indique quels codages ont été appliqués au corps de l'entité. |
Content-Language: | Ce champ d'entête permet d'indiquer les langages humains publics, afin qu'il soit possible pour l'utilisateur de se différencier en fonction du langage humaine préférée des utilisateurs. |
Content-Length: | Ce champ d'entête permet d'indiquer la taille en octets, spécifiée avec une base décimal, du corps de la réponse envoyée au client. |
Content-Location: | Ce champ d'entête permet d'indiquer un autre emplacement pour les données renvoyées. L'utilisation principale est d'indiquer un URL d'une ressource transmise à la suite de la négociation de contenu. |
Content-Range: | Ce champ d'entête permet d'indiquer l'endroit du message complet appartenant à un message partiel. |
Content-Security-Policy: | Ce champ d'entête permet d'indiquer au site Web qu'il devrait contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page spécifiée. |
Content-Security-Policy-Report-Only: | Ce champ d'entête permet d'indiquer les stratégies en surveillant (mais pas en appliquant) leurs effets. |
Content-Type: | Ce champ d'entête permet d'indiquer le type MIME de la ressource. |
Cookie: | Ce champ d'entête permet d'indiquer les Cookies du HTTP entreposés précédemment envoyés par le serveur Web avec le champ d'entête Set-Cookie. |
Cookie2: | Ce champ d'entête permet d'indiquer au serveur Web que l'agent utilisateur comprend les Cookies de nouveau style, mais que de nos jours les agents utilisateurs utiliseront plutôt l'entête Cookie, pas celui-ci. |
Cross-Origin-Resource-Policy: | Ce champ d'entête permet d'indiquer que le navigateur Web souhaite bloquer les requêtes sans origine et intersite no-cors vers la ressource spécifiée. |
Date: | Ce champ d'entête permet d'indiquer la date et l'heure de l'origine du message. |
Device-Memory: | Ce champ d'entête permet d'indiquer un entête d'API de mémoire de périphérique fonctionnant comme l'entête Client Hints représentant la quantité approximative de périphérique client en RAM. |
Digest: | Ce champ d'entête permet d'indiquer un résumé de la ressource demandée. |
DNT: | Ce champ d'entête permet d'indiquer que les préférences de l'utilisateur à propos du suivi publicitaire. |
DPR: | Ce champ d'entête permet d'indiquer un entête Client Hints représentant le ratio de pixels de périphérique client (DPR), étant le nombre de pixels de périphérique physique correspondant à chaque pixel de CSS. |
Early-Data: | Ce champ d'entête permet d'indiquer que la requête a été transmise dans les données TLS précoces, et indique en outre qu'un intermédiaire comprend le code d'état 425 Too Early. |
ETag: | Ce champ d'entête permet d'indiquer un identificateur de signature de cache. |
Expect: | Ce champ d'entête permet d'indiquer les attentes devant être satisfaites par le serveur Web afin de gérer correctement la requête. |
Expect-CT: | Ce champ d'entête permet d'indiquer aux sites de choisir de signaler et/ou d'appliquer les exigences de transparence des certificats, empêchant l'utilisation inattendue de certificats mal émis pour ce site. |
Expires: | Ce champ d'entête permet d'indiquer la date et l'heure après laquelle la réponse est considérée comme expirée ou obsolète. |
Feature-Policy: | Ce champ d'entête permet d'indiquer le mécanisme pour autoriser et refuser l'utilisation des fonctionnalités du navigateur Web dans son propre cadre et dans le contenu des éléments <iframe> d'un document HTML. |
Forwarded: | Ce champ d'entête permet d'indiquer des informations du côté client des serveurs proxy étant modifiées ou perdues lorsqu'un proxy est impliqué dans le chemin de la requête. |
From: | Ce champ d'entête permet d'indiquer une méthode de communication par tunnel à un PROXY. Lorsqu'il s'agit d'un format de données de courriel, cette ligne d'entête permet d'indiquer le demandeur du message de courriel. |
Host: | Ce champ d'entête permet d'indiquer le nom de domaine du serveur Web, et le numéro du port TCP sur lequel le serveur Web écoute la transmission. |
If-Match: | Ce champ d'entête permet d'indiquer la condition de la requête. Pour les méthodes GET et HEAD, le serveur Web renverra la ressource demandée uniquement si elle correspond à l'un des champs d'entête ETags répertoriés. Pour PUT et d'autres méthodes non sûres, il ne téléchargera la ressource que dans ce cas. |
If-Modified-Since: | Ce champ d'entête permet d'indiquer que le document demandé n'a pas changé depuis l'heure spécifié, ainsi, le document ne sera pas envoyé et un code 304 sera plutôt envoyé. |
If-None-Match: | Ce champ d'entête permet d'indiquer la condition de la requête. Pour les méthodes GET et HEAD, le serveur Web renverra la ressource spécifiée, avec un code d'état 200, seulement si elle n'a pas un champ d'entête ETag correspondant à ceux ayant été fournit. Pour les autres méthodes, la requête ne sera en traitement que si le champ d'entête ETag de l'éventuelle ressource existante ne correspond à aucune des valeurs répertoriées. |
If-Range: | Ce champ d'entête permet d'indiquer si la condition est remplie, que la requête d'intervalle sera émise et le serveur renvoie une réponse 206 Partial Content avec le corps approprié. Si la condition n'est pas remplie, la ressource complète est renvoyée, avec un état 200 OK. |
If-Unmodified-Since: | Ce champ d'entête permet d'indiquer que le serveur renverra la ressource demandée, ou l'acceptera dans le cas d'un POST ou d'une autre méthode non sûre, uniquement si elle n'a pas été modifiée pour la dernière fois après la date spécifié. |
Keep-Alive: | Ce champ d'entête permet d'indiquer de quel manière doit être gérée la connexion et de quel manière celle-ci peut être utilisée afin de fixer un délai d'attente et une quantité maximale de requêtes. |
Large-Allocation: | Ce champ d'entête permet d'indiquer que la page dans le navigateur Web en cours de chargement va vouloir effectuer une allocation importante. |
Last-Modified: | Ce champ d'entête permet d'indiquer la date et l'heure à laquelle le serveur d'origine croit que la ressource a été modifiée depuis la dernière fois. |
Link: | Ce champ d'entête permet d'indiquer un lien HTTP fournit un moyen de sérialisation d'un ou plusieurs liens dans les entêtes HTTP. Il est sémantiquement équivalent à l'élément <link> du HTML. |
Location: | Ce champ d'entête permet d'indiquer l'URL vers laquelle rediriger une page. Il ne fournit un sens que lorsqu'il est servi avec une réponse d'état 3xx (redirection) ou 201 (créé). |
Origin: | Ce champ d'entête permet d'indiquer l'origine de la requête. Il n'inclut aucune information de chemin, seulement le nom de domaine du serveur. Normalement, il est envoyé avec les requêtes CORS, ainsi que les requêtes POST. |
Pragma: | Ce champ d'entête permet d'indiquer, pour un serveur proxy, des options séparés par un point-virgule, de schéma de réponse. |
Proxy-Authenticate: | Ce champ d'entête permet d'indiquer la méthode d'authentification devant être utilisée pour accéder à une ressource derrière un serveur proxy. Il authentifie la requête auprès du serveur proxy, cette situation lui offrant la possibilité de transmettre davantage la requête. |
Proxy-Authorization: | Ce champ d'entête permet d'indiquer les informations d'identification pour authentifier un agent utilisateur auprès d'un serveur proxy, généralement après que le serveur a répondu avec un code d'état 407 Proxy Authentication Required et l'en-tête Proxy-Authenticate. |
Public-Key-Pins: | Ce champ d'entête permet d'indiquer qu'il faut associer une clef publique cryptographique spécifique à un certain serveur Web pour réduire le risque d'attaques MITM avec des certificats falsifiés. |
Public-Key-Pins-Report-Only: | Ce champ d'entête permet d'indiquer des rapports de violation d'épinglage à l'URI de rapport spécifié dans l'entête mais, contrairement à Public-Key-Pins, offre toujours la possibilité aux navigateurs Web de se connecter au serveur si l'épinglage est violé. |
Range: | Ce champ d'entête permet d'indiquer la partie d'un document que le serveur doit renvoyer. |
Referer: | Ce champ d'entête permet d'indiquer au client spécifié, l'adresse URI du document d'où provient la requête. |
Referrer-Policy: | Ce champ d'entête permet d'indiquer le contrôle de la quantité d'informations du référent (envoyées à partir du champ d'entête Referer) à inclure dans les requêtes. |
Retry-After: | Ce champ d'entête permet d'indiquer le temps que l'agent utilisateur doit attendre avant de faire une requête de suivi. |
Save-Data: | Ce champ d'entête permet d'indiquer la préférence du client pour une utilisation réduite des données. Cette situation peut être dû à des coûts tels que des coûts de transfert élevés, des vitesses de connexion lentes,... |
Sec-WebSocket-Accept: | Ce champ d'entête permet d'indiquer l'identificateur de main d'ouverture d'un WebSocket. |
Sec-WebSocket-Protocol: | Ce champ d'entête permet d'indiquer un ou plusieurs protocoles WebSocket que vous souhaitez utiliser, par ordre de préférence. |
Sec-WebSocket-Version: | Ce champ d'entête permet d'indiquer la version du protocole WebSocket que le client souhaite utiliser, afin que le serveur puisse confirmer si cette version est prise en charge de son côté. |
Server: | Ce champ d'entête permet d'indiquer les informations à propos du système ou service mise en place sur le serveur afin de s'occuper de la requête. |
Server-Timing: | Ce champ d'entête permet d'indiquer une communication avec une ou plusieurs métriques et descriptions pour un cycle de requête-réponse spécifié. |
Set-Cookie: | Ce champ d'entête permet d'envoyer des Cookies du serveur à l'agent utilisateur. |
Set-Cookie2: | Ce champ d'entête permet d'envoyer des Cookies du serveur à l'agent utilisateur. Ce champ d'entête est obsolète, vous devriez plutôt utilisé Set-Cookie. |
SourceMap: | Ce champ d'entête permet d'indiquer qu'il faut relier le code généré à une cartographie source, permettant au navigateur Web de reconstruire la source d'origine et de présenter l'original reconstruit dans le débogueur. |
Strict-Transport-Security: | Ce champ d'entête permet d'indiquer un mécanisme de sécurité à partir du duquel un site Web peut proposer aux navigateurs Web qu'ils doivent communiquer avec lui en utilisant exclusivement le protocole HTTPS plutôt que le HTTP. |
TE: | Ce champ d'entête permet d'indiquer les codages de transfert que l'agent utilisateur est prêt à accepter. |
Timing-Allow-Origin: | Ce champ d'entête permet d'indiquer les origines autorisées à voir les valeurs des attributs récupérés à partir de la fonctionnalité de l'API Resource Timing, étant sinon signalées comme nulles en raison de restrictions d'origine croisée. |
Tk: | Ce champ d'entête permet d'indiquer l'état de suivi s'appliquant à la requête correspondante. |
Trailer: | Ce champ d'entête permet d'indiquer à l'expéditeur qu'il faut qu'il inclus des champs d'informations supplémentaires à la fin des blocs de messages afin de fournir des méta-données d'informations supplémentaires pouvant être générées de manière dynamique pendant que le corps du message sera envoyé. Aussi, il peut s'agir de la vérification de l'intégrité du message, d'une signature numérique, ou encore d'un état après le traitement. |
Transfer-Encoding: | Ce champ d'entête permet d'indiquer le format de codage utilisée pour transférer en toute sécurité le corps de la charge utile à l'utilisateur. |
Upgrade-Insecure-Requests: | Ce champ d'entête permet d'envoyer un signal au serveur exprimant la préférence du client pour une réponse chiffrée et authentifiée, et indiquer qu'il peut gérer avec succès la directive CSP de requête de mise à niveau non sécurisée. |
User-Agent: | Ce champ d'entête permet d'indiquer le logiciel client utilisé pour lire la requête HTTP (il s'agit généralement du nom du navigateur Web ou du moteur de recherche). |
Vary: | Ce champ d'entête permet d'indiquer de quel manière les entêtes de requêtes future sont associés pour décider si une réponse en cache à la possibilité d'être réutilisée plutôt que de solliciter à nouveau le serveur d'origine. |
Via: | Ce champ d'entête permet d'indiquer un ajout par un proxy, à la fois des transferts et proxy, et peut apparaître dans les entêtes de requête et les entêtes de réponse. |
Want-Digest: | Ce champ d'entête permet d'indiquer une requête HTTP, laquelle requête au répondeur de fournir un résumé de la ressource demandée à l'aide de l'entête de réponse Digest. |
Warning: | Ce champ d'entête permet d'indiquer des informations sur les problèmes possibles avec l'état du message. Plusieurs entêtes d'avertissement peuvent apparaître dans une réponse. |
WWW-Authenticate: | Ce champ d'entête permet d'indiquer la méthode d'authentification devant être utilisé pour demander l'accès à une ressource. |
X-Amz-Cf-Id: | Ce champ d'entête permet d'indiquer que CloudFront du service infonuagiques AWS ajoute l'entête à la requête du visualiseur avant de transmettre la requête à votre origine. La valeur d'entête contient une chaîne de caractères chiffrée identifiant de manière unique la requête. |
X-Amz-Cf-Pop: | Ce champ d'entête permet d'indiquer l'emplacement du serveur de la requête dans le CloudFront du service infonuagiques AWS. |
X-Cache: | Ce champ d'entête permet d'indiquer le nom du service infonuagiques de service de cache ou de CDN. |
X-Content-Type-Options: | Ce champ d'entête permet d'indiquer un marqueur utilisé par le serveur pour indiquer que les types MIME indiqués dans les entêtes Content-Type ne doivent pas être modifiées et/ou suivies. Cette situation permet de se détacher du détecteur de type MIME. |
X-DNS-Prefetch-Control: | Ce champ d'entête permet d'indiquer une réponse X-DNS-Prefetch-Control de HTTP contrôlant la prélecture du DNS. Normalement, les navigateurs Web effectuent de manière proactive la résolution des noms de domaine sur les deux liens que l'utilisateur peut choisir de suivre ainsi que les URL des éléments référencés par le document, y compris les images, CSS, JavaScript,... |
X-EC-name: | Ce champ d'entête permet d'indiquer le début d'un X-EC réservé pour l'utilisation avec CDN. |
X-Forwarded-For: | Ce champ d'entête permet d'indiquer l'identificateur de l'adresse IP d'origine d'un client se connectant à un serveur Web à partir d'un proxy HTTP ou d'un équilibreur de charge. |
X-Forwarded-Host: | Ce champ d'entête permet d'indiquer l'identificateur de l'hôte d'origine demandé par le client dans l'entête de requête HTTP de l'hôte. |
X-Forwarded-Proto: | Ce champ d'entête permet d'indiquer l'identificateur de protocole (HTTP ou HTTPS) utilisé par un client pour se connecter à votre proxy ou à votre équilibreur de charge. |
X-Frame-Options: | Ce champ d'entête permet d'indiquer si un navigateur Web devrait être autorisé à afficher une page Web avec des balises <frame>, <iframe>, <embed> ou <object> du HTML. |
X-Gateway-List | Ce champ d'entête permet d'indiquer un identificateur de liste de basculement des serveurs de passerelle ADN affectés à une origine client par des services infonuagiques Azure avec Verizon. |
X-Host: | Ce champ d'entête permet d'indiquer le nom de l'hôte de la requête d'un service CDN. |
X-Midgress: | Ce champ d'entête permet d'indiquer une requête traitée par un proxy à partir d'un serveur CDN supplémentaire comme les services infonuagiques Azure. |
X-Real-IP: | Ce champ d'entête permet d'indiquer que le CloudFront supprime l'entête. |
X-XSS-Protection | Ce champ d'entête permet d'indiquer qu'il faut empêcher le chargement des pages lorsqu'elles détectent des attaques de script intersite réfléchies (XSS) se produit. Uniquement utilisé par les navigateurs Web Internet Explorer, Chrome et Safari. |
x-twitter-response-tags: | Ce champ d'entête permet d'indiquer une réponse de Twitter de l'API. |
Légende
Cette couleur permet d'indiquer des champs d'entêtes utilisé seulement par des services spécifiques
comme AWS, Azure,... ou des logiciels spécialisés.
De façon général, ils sont renvoyés dans l'entête HTTP au navigateur Web mais sont ignorés par la plupart des navigateurs Web.
Cette couleur permet d'indiquer les champs d'entêtes sont déconseillées.
Remarque
- La plupart des langages de programmation côté serveur offre des instructions permettant d'envoyer directement des champs d'entête vers le client. Ainsi, par exemple, en PHP, on utilisera la fonction header, la balise CFHEADER en ColdFusion,...
Dernière mise à jour : Vendredi, le 10 janvier 2020