Esta página ha sido traducida del inglés por la comunidad.Aprende más y únete a la comunidad de MDN Web Docs.
HTTP headers
Las cabeceras (en inglésheaders) HTTP permiten al cliente y al servidor enviar información adicional junto a una petición o respuesta. Una cabecera de petición esta compuesta por su nombre (no sensible a las mayusculas) seguido de dos puntos ':', y a continuación su valor (sin saltos de línea). Los espacios en blanco a la izquierda del valor son ignoradosSe pueden agregar cabeceras propietarias personalizadas usando el prefijo 'X-', pero esta convención se encuentra desfasada desde Julio de 2012, debido a los inconvenientes causados cuando se estandarizaron campos no estandar en elRFC 6648; otras están listadas en unregistro IANA, cuyo contenido original fue definido en elRFC 4229, IANA tambien mantiene unregistro de propuestas para nuevas cabeceras HTTP
Las Cabeceras pueden ser agrupadas de acuerdo a sus contextos:
- Cabecera general: Cabeceras que se aplican tanto a las peticiones como a las respuestas, pero sin relación con los datos que finalmente se transmiten en el cuerpo.
- Cabecera de consulta: Cabeceras que contienen más información sobre el contenido que va a obtenerse o sobre el cliente.
- Cabecera de respuesta: Cabeceras que contienen más información sobre el contenido, como su origen o el servidor (nombre, versión, etc.).
- Cabecera de entidad: Cabeceras que contienen más información sobre el cuerpo de la entidad, como el tamaño del contenido o su tipo MIME.
Las cabeceras también pueden clasificarse de acuerdo a cómo se comportan frente a ellas los proxies:
- Cabeceras de extremo a extremo
Estas cabeceras deben ser enviadas al recipiente final del mensaje; esto es, el servidor (para una petición) o el cliente (para una respuesta). Los proxies intermediarios deben transmitir las cabeceras de extremo-a-extremo sin modificar, y las cachés deben guardarlas tal y como son recibidas.
- Cabeceras de paso
Estas cabeceras sólo son significativas para conexiones de un paso, y no deben ser transmitidas por proxies o almacenarse en caché. Éstas cabeceras son:
Connection,Keep-Alive,Proxy-Authenticate,Proxy-Authorization,TE,Trailer,Transfer-EncodingandUpgrade. La cabecera generalConnectionsólo puede usarse para este tipo de cabeceras.
La siguiente lista agrupa las cabeceras HTTP en categorías según su uso. Para visualizar una lista en orden alfabético, use el navegador del lado izquierdo.
Autenticación
WWW-AuthenticateDefine el método de autenticación que debería ser usado para tener acceso al contenido.
AuthorizationContiene las credenciales para autenticar a un usuario con un servidor.
Proxy-AuthenticateDefine el método de autenticación que debería ser usado para tener acceso a un recurso que se encuentre tras un servidor proxy.
Proxy-AuthorizationContiene las credenciales para autenticar a un usuario con un servidor proxy.
Almacenamiento en caché
AgeEl tiempo en el que un objeto ha estado en una caché proxy, expresado en segundos.
Cache-ControlEspecifica directivas para los mecanismos de almacenamiento en caché, tanto para peticiones como para respuestas.
ExpiresLa fecha y tiempo tras las cuales una respuesta se considera agotada.
PragmaCabecera specífica para implementaciones que puede tener diferentes efectos a lo lartgo del proceso de petición-respuesta. Utilizada para implementar retrocompatibilidad con cachés de tipo HTTP/1.0 donde la cabecera
Cache-Controlaún no esté presente.WarningUn campo de alerta general, que contiene i nformación sobre diferentes problemas posibles.
Indicaciones sobre el cliente
Accept-CH...
Accept-CH-Lifetime...
Early-Data...
Content-DPR...
DPR...
Downlink...
Save-Data...
Viewport-Width...
Width...
Condicionales
Last-ModifiedSe trata de un validador, indicando la fecha de la última modificación del recurso, utilizado para comparar diferentes versiones del mismo recurso. No es tan preciso como
ETag, pero es más sencillo de calcular en algunos entornos. Las peticiones condicionales que usanIf-Modified-SinceyIf-Unmodified-Sinceutilizan este valor para cambiar el comportamiento de la petición.ETagSe trata de un validador, un tipo de hilo único identificando la versión del recurso. Las peticiones condicionales que usan
If-MatchyIf-None-Matchutilizan este valor para cambiar el comportamiento de la petición.If-MatchRealiza la petición condicional y aplican el método sólo si el recurso almacenado coincide con uno de los ETags asignados.
If-None-MatchRealiza la petición condicional y aplican el método sólo si el recurso almacenado no coincide con ninguno de los ETags. Ésta cabecera se utiliza para actualizar cachés (para peticiones seguras), o para prevenir la subida de un recurso si éste ya existe en el servidor.
If-Modified-SinceRealiza la petición condicional y espera que la entidad sea transmitia sólo si ha sido modificada tras la fecha especificada. Esta cabecera se usa para transmitir datos si la cabecera ha quedado desfasada.
If-Unmodified-SinceRealiza la petición condicional y espera que la entidad sea transmitia sólo si no ha sido modificada tras la fecha especificada. Esta cabecera se usa para preservar la coherencia de un nuevo fragmento de un rango especifico respecto a otros ya existentes, o para implementar un sistema de control de concurrencia optimistacuando se están modificando documentos existentes.
Gestión de conexiones
ConnectionControla si la conexión a la red se mantiene activa después de que la transacción en curso haya finalizado.
Keep-AliveControla el tiempo durante el cual una conexión persistente debe permanecer abierta.
Negociación de contenido
AcceptInforma al servidor sobre los diferentes tipos de datos que pueden enviarse de vuelta. Es de tipo MIME.
Accept-CharsetInforma al servidor sobre el set de caracteres que el cliente puede entender.
Accept-EncodingInforma al servidor sobre el algoritmo de codificación, habitualmente un algoritmo de compresión, que puede utilizarse sobre el recurso que se envíe de vuelta en la respuesta.
Accept-LanguageInforma al servidor sobre el lenguage que el servidor espera recibir de vuelta. Se trata de una indicación, y no estará necesariamente sometida al control del cliente: el servidor siempre deberá estar atento para no sobreescribir una selección específica del usuario (como, por ejemplo, una selección de idiomas en una lista desplegable).
Controles
Expect...
Max-Forwards...
Cookies
CookieContieneHTTP cookies enviadas previamente por el servidor con la cabecera
Set-Cookie.Set-CookieEnvia cookies desde el servidor al usuario.
Cookie2ObsoletoHabitualmente contenía una cookie HTTP, enviada previamente por el servidor con la cabecera
Set-Cookie2, pero ha quedado obsoleta por la especificación. Utiliza en su lugarCookie.Set-Cookie2ObsoletoSe utilizaba para enviar cookies desde el servidor al usuario, but has been obsoleted by the specification. pero ha quedado obsoleta por la especificación. Utiliza en su lugar
Set-Cookie.
CORS
Access-Control-Allow-OriginIndica si la respuesta puede ser compartida.
Access-Control-Allow-CredentialsIndica si la respuesta puede quedar expuesta o no cuando el marcador de la credencial retorna como 'true'.
Access-Control-Allow-HeadersUtilizado como respuesta a una solicitud de validación para indicár qué cabeceras HTTP pueden utilizarse a la hora de lanzar la petición.
Access-Control-Allow-MethodsEspecifica el método (o métodos) permitido al acceder al recurso, en respuesta a una petición de validación.
Access-Control-Expose-HeadersIndica qué cabeceras pueden ser expuestas como parte de una respuesta al listar sus nombres.
Access-Control-Max-AgeIndica durante cuánto tiempo puede guardarse el resultado de una solicitud de validación.
Access-Control-Request-HeadersUtilizada al lanzar una petición de validación, para permitir al servidor saber qué cabeceras HTTP se utilizarán cuando la petición en cuestión se lance.
Access-Control-Request-MethodUtilizada al enviar una solicitud de validación que permite al servidor saber quémétodo HTTP se utilizará cuando la petición en cuestión se lance.
OriginIndica el punto de origen de una petición de recogida.
Timing-Allow-OriginEspecifica los origines que tienen permitido ver los valores de los atributos obtenidos mediante las características de laResource Timing API, que de otra forma serían reportados como cero debido a los orígenes cruzados.
Cabeceras sin seguimiento
Descargas
Content-DispositionUna cabecera de respuesta usada en caso de que el recurso transmitid deba mostrarse en pantalla , o debe ser gestionada como una descarga y por tanto el navegador deba presentar una pantalla de 'Guardar Como'.
Mensajes sobre la información del cuerpo (body)
Content-LengthIndica el tamaño del cuerpo del recurso, expresado en números decimales de octetos, que ha sido enviado al recipiente.
Content-TypeIndica el tipo de medio del recurso .
Content-EncodingUtilizado para indicar el algoritmo de compresión.
Content-LanguageIndica el idioma (o idiomas) elegidos para los usuarios, de forma que se pueda mostrar contenido diferenciado para el usuario de acuerdo a sus preferencias de idioma.
Content-LocationIndica un punto de origen alternativo para un recurso.
Proxies
ForwardedContiene información sobre el 'lado cliente' de un servidor proxy, que se alteraría o perdería si un proxy está involucrado en la ruta de la petición.
X-Forwarded-ForNo estándarIdentifica la IP de origen de un cliente que se conecta a un servidor web a través de un proxy HTTP o un equilibrador de carga.
X-Forwarded-HostNo estándarIdentifies the la dirección original solicitada que un cliente haya utilizado para conectarse a un proxy o equilibrador de carga.
X-Forwarded-ProtoNo estándarIdentifica el protocolo (HTTP o HTTPS) que un cliente haya utilizado para conectarse a un proxy o equilibrador de carga.
ViaAñadida por los proxies, y pueden aparecer tanto en las cabeceras de petición como las de respuesta.
Redirecciones
LocationIndica la URL a la que debe redirigir una página determinada.
Contexto de petición
FromContiene la dirección de email de un usuario humano que controla el gestor de peticiones.
HostEspecifica el nombre de dominio del servidor (para alojamiento virtual), y (opcionalmente) el número de puerto TCP en el que está escuchando el servidor.
RefererIndica la dirección de la página web previa desde la cual un link nos ha redirigido a la actual.
Referrer-PolicyEstablece la información del referer que deberá ser enviada en las peticiones que incluyan
Referer.User-AgentContiene un string característico que será examinado por el protocolo de red para identificar el tipo de aplicación, sistema operativo, proveedor de software o versión del software del agente de software que realiza la petición. Véase tambiénFirefox user agent string reference.
Contexto de respuesta
Peticiones de rango
Accept-RangesIndica si el servidor acepta peticiones de rango y, de ser así, en qué unidades puede expresarse ese rango.
RangeIndica la parte del documento que el servidor debe devolver.
If-RangeCrea una petición de rango condicional que sólo es satisfecha cuando el etag o los datos provistos coinciden con los del recurso remoto. Se usan para prevenir la descarga de dos rangos desde versiones incompatibles del mismo recurso.
Content-RangeIndica el lugar que debe ocupar un mensaje parcial dentro de la totalidad del cuerpo del recurso.
Seguridad
Content-Security-Policy(CSP)Controla qué recursos puede cargar el usuario para una página concreta.
Content-Security-Policy-Report-OnlyPermite a los desarrolladores web experimentar con políticas de acceso, monotorizando (pero sin implementar) sus efectos. Éstos informes de violación de protocolo contienen documentos del tipoJSON enviados mediante una petición HTTP
POSThacia el URI especificado.Expect-CTPermite a los sitios optar por informar y/o hacer cumplir los requerimientos de Transparencia de Certificados, lo que impide que el uso de certificados publicados incorrectamente por ese sitio, pase desapercibido. Cuando un sitio habilita el encabezado Expect-CT, se solicita a Chrome que verifique que cualquier certificado para ese sitio, aparezca en los registros públicos de CT.
Public-Key-Pins(HPKP)Asocia una clave criptográfica pública y específica con un determinado servidor web para reducir el riesgo deMITM ataques con certificados falsificados.
Public-Key-Pins-Report-OnlyEnvía reportes al report-uri especificado en la cabecera, sin bloquear la conexión entre cliente y servidor aún cuando el pinning ha sido violado.
Strict-Transport-Security(HSTS)Fuerza la comunicación utilizando HTTPS en lugar de HTTP.
Upgrade-Insecure-RequestsEnvía una señal al servidor expresando la preferencia del cliente por una respuesta encriptada y autenticada, y esta puede manejar de forma satisfactoria la directiva
upgrade-insecure-requests.X-Content-Type-OptionsDeshabilita el MIME sniffing y fuerza al navegador a utilizar el tipo establecido en
Content-Type.X-Download-Options...
X-Frame-Options(XFO)Le indica al navegador que debe renderizar una página utilizando
<frame>,<iframe>o<object>.X-Permitted-Cross-Domain-Policies...
X-Powered-By...
X-XSS-ProtectionHabilita los filtros de cross-site scripting.
Eventos enviados por el servidor
Ping-From...
Ping-To...
Last-Event-ID...
Codificación de transferencia
Transfer-EncodingEspecifica la forma de codificación para transferir la entidad al usuario de forma segura.
TEEspecifica la codificación de transferencia que el usuario estará dispuesto a aceptar.
TrailerLe permite al remitente incluir campos adicionales al final de un mensaje fragmentado.
WebSockets
Otros
DateContiene la fecha y la hora en que el mensaje fue originado.
Expect-CTLe permite a los sitios el optar por reportar o forzar los requerimientos de transparencia de certificado.
Large-AllocationLe indica al navegador que la página a ser cargada va a realizar una asignación grande.
Link...
Retry-AfterIndica cuánto tiempo debe esperar el usuario antes de hacer una solicitud de seguimiento.
Server-TimingComunica una o mas métricas y descripciones para un dado ciclo de petición-respuesta.
SourceMapEnlaza el código generado a unsource map.
UpgradeÉste es un Estándar de Internet Propuesto. Para leer una guía inclusiva de todos los Estándares de Internet Oficiales y Propuestos con información detallada sobre cada uno de ellos,visita esta referencia de Estándares de Internet, que se actualiza de forma diaria. El documento relevante de la RFC para la Actualuzación sobre los Estándares de Cabeceras es elRFC 7230, sección 6.7. El estándar establece reglas para la actualización o cambios a un protocolo doferente en el cliente, servidor, o protocolo de conexiones actuales.Por ejemplo, este estándar de cabecera permite que un cliente cambie de un protocolo HTTP 1.1 al HTTP 2.0, asumiendo que el servidor decida reconocer e implementar la cabecera de Actualización. Ninguna de las partes involucradas está obligada a aceptar los cambios implementados por el campo de la Cabecera de Actualización
Upgrade. Puede usarse tanto para cabeceras de cliente como para las del servidor. Si se especifica la cabecera de Actualización, el emisor también DEBE enviar el campo de cabecera de Conexión con la opción de actualización especificada. Para más detalles sobre dicho campo, por favor revisar lasección 6.1 de la ya mencionada RFC.VaryDetermina cómo emparejar futuras cabeceras de petición para decidir si una respuesta en caché puede utilizarse, en lugar de solicitar una cabecera nueva desde el servidor de origen.
X-DNS-Prefetch-ControlControla el prefetching de DNS, una característica que permite a muchos navegadores realizar resoluciones de nombre de los dominios sobre ambos enlaces, que un usuario podría elegir seguir; así como URLs pata objetos referenciados por el documento incluyendo imágenes, CSS, archivos Javascript y demás.
X-Firefox-SpdyObsoletoNo estándar...
X-Requested-With...
X-Robots-Tag...
X-UA-CompatibleNo estándarUtilizada por Internet Explorer para señalar que tipo de modo de documento utilizar.