HTTP-Header-Parser/ Antwort-Header erklart
Fugen Sie HTTP-Antwort-Header ein, um jedes Feld nach Kategorie gruppiert zu entschlusseln und zu erklaren.
Hat dieses Tool Ihr Problem gelöst?
Haufig gestellte Fragen
Wie erhalte ich die HTTP-Antwort-Header einer Website?
Offnen Sie in Chrome/Firefox die Entwicklertools (F12) → Reiter Netzwerk → klicken Sie auf eine Anfrage → Reiter Headers → kopieren Sie den Abschnitt Response Headers. Alternativ verwenden Sie curl: curl -I https://example.com, um nur die Header auszugeben.
Was bedeutet Cache-Control: max-age=3600?
Es weist Browser und Zwischen-Caches an, die Antwort bis zu 3600 Sekunden (1 Stunde) zu speichern. Danach muss eine neue Anfrage gestellt werden. In Kombination mit ETag oder Last-Modified kann der Cache beim Server prufen, ob die gecachte Version noch aktuell ist.
Was ist HSTS und warum sollte ich es aktivieren?
HSTS (HTTP Strict Transport Security) teilt Browsern uber den Strict-Transport-Security-Header mit, fur eine bestimmte Dauer nur uber HTTPS eine Verbindung herzustellen. Dies verhindert SSL-Stripping-Angriffe. Sobald ein Browser den Header gesehen hat, verweigert er HTTP-Verbindungen zu dieser Domain.
Warum gibt meine API CORS-Fehler zuruck?
CORS-Fehler treten auf, wenn ein Browser eine Cross-Origin-Anfrage blockiert, weil die Serverantwort keinen passenden Access-Control-Allow-Origin-Header enthalt. Der Server muss den anfragenden Ursprung explizit erlauben oder * verwenden, um alle Ursprunge zuzulassen.
Was ist der Unterschied zwischen ETag und Last-Modified?
Beide sind Cache-Validierungsmechanismen. ETag ist ein opakes Token (normalerweise ein Hash des Inhalts) — praziser. Last-Modified ist das Datum der letzten Anderung — einfacher, aber weniger genau. Browser verwenden sie fur bedingte Anfragen (If-None-Match / If-Modified-Since) und erhalten eine 304 Not Modified-Antwort, wenn sich der Inhalt nicht geandert hat.
Was bewirkt X-Content-Type-Options: nosniff?
Es verhindert, dass Browser MIME-Sniffing durchfuhren — also einen anderen Content-Type erraten als vom Server deklariert. Ohne diesen Header konnte ein Browser eine als text/plain ausgelieferte JavaScript-Datei als Skript ausfuhren. Setzen Sie diesen Header immer, um Content-Injection-Angriffe zu verhindern.