HTTP ヘッダー

HTTP ヘッダーは、クライアントやサーバーがリクエストやレスポンスで追加情報を渡すことを可能にします。 HTTP ヘッダーは、大文字小文字を区別しないヘッダー名とそれに続くコロン ':'、 (改行なしの) 値で構成されます。値の前にあるホワイトスペース文字は無視されます。

'X-' 接頭辞を使用して独自のヘッダーを追加できますが、この慣習は 2012 年 6 月に非推奨になりました。これは、 RFC 6648 で非標準のフィールドが標準になったときに発生した不便さのためです。それ以外のヘッダーは IANA レジストリ に収録されており、その基になったものは RFC 4229 です。また IANA は 新たに提案された HTTP ヘッダーのレジストリ も管理しています。

ヘッダーは、そのコンテキストに応じて分類できます。

  • 一般ヘッダー: リクエストとレスポンスの両方に適用されますが、最終的に本文で転送されるデータとの関係はないヘッダーです。
  • リクエストヘッダー: 読み込むリソースやクライアント自身に関する詳細な情報を持つヘッダーです。
  • レスポンスヘッダー: レスポンスに関する追加情報 (場所など) やサーバー自身に関する追加情報 (名前やバージョンなど) を持つヘッダーです。
  • エンティティヘッダー: コンテンツの長さや MIME タイプなど、エンティティの本体に関する詳細情報を持つヘッダーです。

またヘッダーは、プロキシサーバーがどのように処理するかに応じて分類されます。

エンドツーエンドヘッダー
これらのヘッダーは、メッセージの最終的な宛先に伝送しなければなりません。つまり、リクエストにおけるサーバーまたはレスポンスにおけるクライアントです。中間のプロキシはヘッダーを変更せずに再伝送しなければならず、またキャッシュには保存しなければなりません。
ホップバイホップヘッダー
これらのヘッダーは単一のトランスポート層の接続にのみ意味を持ち、プロキシが再転送したり、キャッシュを行ったりしてはいけません。 Connection, Keep-Alive, Proxy-Authenticate, Proxy-Authorization, TE, Trailer, Transfer-Encoding, Upgrade などが該当します。なお、 Connection 一般ヘッダーを用いて設定される場合があるのはホップバイホップヘッダーのみです。

以下の一覧は、用途で分類した HTTP ヘッダーの要約です。アルファベット順の一覧は、左側のナビゲーションにあります。

認証

WWW-Authenticate
リソースへアクセスできるようにするために使用すべき認証方法を定義します。
Authorization
サーバーでユーザーエージェントを認証するための認証情報を持ちます。
Proxy-Authenticate
プロキシサーバーの背後にあるリソースへアクセスできるようにするために使用すべき認証方法を定義します。
Proxy-Authorization
プロキシサーバーでユーザーエージェントを認証するための認証情報を持ちます。

キャッシュ

Age
オブジェクトがプロキシのキャッシュに存在する時間を秒数で表します。
Cache-Control
リクエストおよびレスポンスで、キャッシュ機能に関するディレクティブを指定します。
Clear-Site-Data
リクエストしているウェブサイトに関連付けられたブラウズ用のデータ (クッキー、ストレージ、キャッシュ等) を消去します。
Expires
レスポンスが陳腐化すると考えられる日時を表します。
Pragma
リクエストからレスポンスへの流れの中でさまざまな影響がある、実装依存のヘッダーです。 Cache-Control ヘッダーが未実装である HTTP/1.0 キャッシュとの後方互換性のために使用します。
Warning
起こりうる問題に関する情報を持つ、一般警告フィールドです。

クライアントヒント

HTTP クライアントヒントは策定中です。実際の文書は HTTP 作業グループのウェブサイトにあります。

Accept-CH
サーバーはクライアントヒントに対応していることを、 Accept-CH header ヘッダーフィールドまたは同等の http-equiv 属性が付いた HTML の meta 要素を使用して広報することができます ([HTML5])。
Accept-CH-Lifetime
サーバーは、指定された期間サーバーがサポートする対応する一連のクライアントヒントを記憶するようクライアントに依頼し、そのサーバーのオリジンに対するその後のリクエストでクライアントヒントを配信できるようにすることができます ([RFC6454])。
Early-Data
リクエストが早期データを伝えていることを示します。
Content-DPR
Content-DPR レスポンスヘッダーフィールドは数値で、選択された画像レスポンスの CSS CSS ピクセルに対する物理ピクセルの比を示します。
DPR
DPR リクエストヘッダーフィールドは数値で、現在のクライアントのデバイスピクセル比 (DPR)、すなわち端末のレイアウトビューポート ([CSS2] のセクション9.1.1) における、 CSS ピクセルに対する物理ピクセルの比 ([CSSVAL] のセクション5.2) を示します。
Save-Data
SaveData [CLIENT-HINTS] リクエストヘッダーフィールドは、ユーザーエージェントのデータ利用の削減についての設定を示す論理値で構成されます。
Viewport-Width

Viewport-Width リクエストヘッダーフィールドは数値で、レイアウトビューポートの幅を CSS ピクセル数で示します。指定された CSS ピクセル数は、それを上回る最小の整数に丸められます (つまり切り上げ)。

Viewport-Width がメッセージ内に二回以上現れた場合、最後の値がそれ以前のすべての値を上書きします。

Width

Width リクエストヘッダーフィールドは数値で、要求するリソースの幅 (つまり画像の固有の寸法) を物理ピクセル数で示します。指定された物理ピクセル数は、それを上回る最小の整数に丸められます (つまり切り上げ)。

要求するリソースの幅がリクエストの時点で不明である場合や、リソースが表示幅を持たない場合は、 Width ヘッダーフィールドは省略できます。 Width がメッセージ内に二回以上現れた場合、最後の値がそれ以前のすべての値を上書きします。

条件付き

Last-Modified
リソースが最後に変更された日時であり、同じリソースの複数のバージョンを比較するために使用するバリデーターです。ETag より正確さは低いのですが、環境によっては計算が容易です。If-Modified-SinceIf-Unmodified-Since を使用する条件付きリクエストでは、リクエストの動作を変更するためにこの値を使用します。
ETag
一意な文字列であり、リソースのバージョンを識別するバリデーターです。If-MatchIf-None-Match を使用する条件付きリクエストでは、リクエストの動作を変更するためにこの値を使用します。
If-Match
リクエストを条件付きにして、保存されたリソースが指定した ETag のいずれかに一致する場合に限りメソッドを適用します。
If-None-Match
リクエストを条件付きにして、保存されたリソースが指定した ETag のいずれかに一致しない場合に限りメソッドを適用します。これはキャッシュを更新する (安全なリクエスト向け)、あるいはすでにリソースが存在する場合に新しいリソースのアップロードを止めるために使用します。
If-Modified-Since
リクエストを条件付きにして、エンティティが指定した日時より後に変更されている場合に限り転送するようリクエストします。キャッシュが期限切れである場合に限りデータを転送するために使用します。
If-Unmodified-Since
リクエストを条件付きにして、エンティティが指定した日時より後に変更されていない場合に限り転送するようリクエストします。これは、特定の範囲の新しい断片と古い断片の一貫性を保証する、あるいは既存の文書を変更するときに楽観的な並行性制御システムを実装するために使用します。
Vary
新しいものを元のサーバーにリクエストするのではなく、キャッシュされたレスポンスが使用できるよう決定するために、将来のリクエストヘッダーを一致させる方法を定めます。/dd>

接続制御

Connection
現在の転送が完了した後も、ネットワークコネクションを維持するかを制御します。
Keep-Alive
持続的なコネクションをどれだけの期間維持するかを制御します。

コンテンツネゴシエーション

Accept
送り返すことができるデータのタイプをサーバーに通知します。これは MIME タイプです。
Accept-Charset
クライアントが理解できる文字集合をサーバーに通知します。
Accept-Encoding
送り返すリソースで使用できるエンコードアルゴリズム (一般的には圧縮アルゴリズム) をサーバーに通知します。
Accept-Language
送り返すリソースで期待する言語をサーバーに通知します。これはヒントであり、必ずしもユーザーの完全な制御下にあるものではありません。サーバーはユーザーの選択 (ドロップダウンリストで選ぶ言語など) を明示的に上書きしないように、常に注意を払うべきです。

制御

Expect
リクエストを適切に扱うためにサーバーが実行しなければならないと期待されていることを示します。
Max-Forwards
...

クッキー

Cookie
過去に Set-Cookie ヘッダーでサーバーから送信されて保存している HTTP クッキーを持ちます。
Set-Cookie
サーバーからユーザーエージェントにクッキーを送信します。
Cookie2
過去に Set-Cookie2 ヘッダーでサーバーから送信された HTTP クッキーを伝えるために使われていましたが、仕様書から廃止されました。代わりに Cookie を使用してください。
Set-Cookie2
サーバーからユーザーエージェントに Cookie を送信するために使用されていましたが、仕様書から廃止されました。代わりに Set-Cookie を使用してください。

オリジン間リソース共有 (CORS)

CORS についての詳細は、こちらを参照してください。

Access-Control-Allow-Origin
レスポンスが共有可能かを示します。
Access-Control-Allow-Credentials
credentials フラグが真であるときに、リクエストへのレスポンスを開示してよいかを示します。
Access-Control-Allow-Headers
実際のリクエストを行うときに HTTP ヘッダーを使用できることを示すために、プリフライトリクエストへのレスポンスで使用します。
Access-Control-Allow-Methods
プリフライトリクエストへのレスポンスで、リソースへアクセスするときに使用できるメソッドを指定します。
Access-Control-Expose-Headers
ヘッダー名を羅列して、レスポンスの一部として開示できるヘッダーを示します。
Access-Control-Max-Age
プリフライトリクエストの結果をキャッシュしてよい期間を示します。
Access-Control-Request-Headers
実際のリクエストを行う際に使用する HTTP ヘッダーをサーバーがわかるようにするため、プリフライトリクエストを発信する際に使用します。
Access-Control-Request-Method
実際のリクエストを行う際に使用する HTTP メソッド をサーバーがわかるようにするため、プリフライトリクエストを発信する際に使用します。
Origin
どこから読み込みが発生したかを示します。
Timing-Allow-Origin
Resource Timing API の機能を通じて受け取った属性の値を見ることができるオリジンを指定します。そうでなければオリジン間の制約によってゼロとして報告されます。
X-Permitted-Cross-Domain-Policies
ドメイン間ポリシーファイル (XML) が有効であることを指定します。このファイルは、 Adobe Flash Player または Adobe Acrobat (PDF など) のようにウェブクライアントに許可するポリシーを定義することができ、ドメインをまたがってデータを扱うことを許可します。

Do Not Track

DNT
ユーザーのトラッキング設定を示すために使用します。
Tk
対応するリクエストに適用するトラッキング状態を示します。

ダウンロード

Content-Disposition
転送したリソースをインラインで表示すべきか (ヘッダーが存在しない場合の既定の動作)、あるいはダウンロードとして扱って、'名前を付けて保存' ウィンドウを表示すべきかを示すレスポンスヘッダーです。

メッセージ本文の情報

Content-Length
受信者に送信するエンティティ本文のサイズを、10 進数表記のオクテット数で表します。
Content-Type
リソースのメディアタイプを示します。
Content-Encoding
圧縮アルゴリズムを指定するために使用します。
Content-Language
読者向けに言語を示すヘッダーであり、ユーザーが自身の好む言語に応じて区別することができます。
Content-Location
返すデータの代替データの場所を示します。

プロキシ

Forwarded
リクエストのパスにプロキシが関与したときに変更または遺失した、プロキシサーバーのクライアント側の情報を持ちます。
X-Forwarded-For
HTTP プロキシやロードバランサーを経由してウェブサーバーに接続するクライアントの、接続元 IP アドレスを識別します。
X-Forwarded-Host
プロキシやロードバランサーに接続するクライアントがリクエストした、オリジナルのホストを示します。
X-Forwarded-Proto
クライアントがプロキシやロードバランサーに接続するために使用したプロトコル (HTTP または HTTPS) を識別します。
Via
フォワードプロキシとリバースプロキシの両方が追加するヘッダーであり、リクエストヘッダーとレスポンスヘッダーのどちらでも見られます。

リダイレクト

Location
ページのリダイレクト先の URL を示します。

リクエストコンテキスト

From
リクエストを行うユーザーエージェントを操作している人間の、インターネット電子メールアドレスを持ちます。
Host
サーバーのドメイン名 (バーチャルホスト向け) およびサーバーが待ち受けている TCP ポート番号 (省略可能) を指定します。
Referer
現在リクエストしているページへリンクしていた、前のウェブページのアドレスです。
Referrer-Policy
Referer ヘッダーで送信するどのリファラー情報をリクエストに含めるかを制御します。
User-Agent
リクエストを行うユーザーエージェントソフトウェアのアプリケーションタイプ、オペレーティングシステム、ベンダー、バージョンを、ネットワークプロトコルのピアが識別できるようにする文字列を持ちます。 Firefox ユーザーエージェント文字列リファレンスもご覧ください。

レスポンスコンテキスト

Allow
リソースがサポートする HTTP リクエストメソッドを示します。
Server
リクエストを扱うサーバーが使用するソフトウェアの情報を持ちます。

範囲付きリクエスト

Accept-Ranges
サーバーが範囲付きリクエストに対応するかどうか、対応していれば対応する場合は、範囲を表すことができる単位を示します。
Range
サーバーが返すべきである文書の範囲を示します。
If-Range
指定した ETag または日時がリモートのリソースにマッチする場合に限定した、条件付き range request を生成します。異なるバージョンのリソースから 2 つの範囲をダウンロードすることを防ぎます。
Content-Range
部分的なメッセージが、メッセージ本文全体のどこに位置するかを示します。

セキュリティ

Cross-Origin-Resource-Policy
このヘッダーが適用されたリソースのレスポンスが他のドメインから読み取られるのを防ぎます。
Content-Security-Policy (CSP)
ユーザーエージェントがページで読み込むことを許可するリソースを制御します。
Content-Security-Policy-Report-Only
ウェブの開発者がポリシーの効果を適用せずに監視することで、実験を行うことができます。これらの違反レポートは、 HTTP POST リクエストによって指定した URI へ送信される JSON 文書で構成されます。
Expect-CT
サイトが証明書の透明性要件の報告や実施を選択できるようにします。これにより、そのサイトで不正な証明書の使用に気づかないことを防ぎます。サイトが Expect-CT ヘッダーを有効にした場合、そのサイトの証明書が公開CTログに表示されることを Chrome が確認するようにリクエストしています。
Feature-Policy
自身のフレームまたはその中の iframe で、ブラウザーの機能を使用することを許可または拒否する仕組みを提供します。
Public-Key-Pins (HPKP)
偽造した証明書による MITM 攻撃の危険性を軽減するため、特定の暗号公開鍵とウェブサーバーを関連付けます。
Public-Key-Pins-Report-Only
ピンニングに違反する場合でも、ヘッダーで指定した report-uri にレポートを送信して、クライアントからサーバーへの接続は許可します。
Strict-Transport-Security (HSTS)
HTTP の代わりに HTTPS による通信を強制します。
Upgrade-Insecure-Requests
暗号化や認証されたレスポンスについて、クライアントの設定を表す信号をサーバーに送信して、upgrade-insecure-requests ディレクティブを正しく扱うことができます。
X-Content-Type-Options
ブラウザーで MIME スニッフィングを無効化して、Content-Type で指定したタイプを強制的に使用させます。
X-Download-Options
ブラウザー (Internet Explorer) がアプリケーションからのダウンロードでファイルを「開く」の選択肢を表示しないようにし、アプリケーションのコンテキストで実行するアクセス権を得ることがないようにして、ファイルとすることでフィッシング詐欺を防止します。
X-Frame-Options (XFO)
ブラウザーがページを <frame>, <iframe>, <embed>, <object> の内部に表示することを許可するかを示します。
X-Powered-By
ホスティング環境やその他のフレームワークによって設定される可能性があり、アプリケーションや訪問者に有益ではない情報を含みます。潜在的な脆弱性が発現することを防ぐために、このヘッダーは設定しないでください。
X-XSS-Protection
クロスサイトスクリプティングのフィルタリングを有効化します。

Server-sent events

Last-Event-ID
...
NEL
開発者がネットワークエラー報告ポリシーを宣言できるようにする仕組みを定義します。
Ping-From
...
Ping-To
...
Report-To
警告やエラーを送信るためのブラウザーに対するサーバーのエンドポイントを指定するために使用します。

転送エンコーディング

Transfer-Encoding
エンティティをユーザーへ問題なく転送できるエンコード形式を指定します。
TE
ユーザーエージェントが進んで受け入れる転送エンコーディングを指定します。
Trailer
送信者が chunk メッセージの終端に追加フィールドを含めることができます。

WebSockets

Sec-WebSocket-Key
...
Sec-WebSocket-Extensions
...
Sec-WebSocket-Accept
...
Sec-WebSocket-Protocol
...
Sec-WebSocket-Version
...

その他

Accept-Push-Policy
クライアントはリクエストに対して求めるプッシュポリシーを、リクエスト内で Accept-Push-Policy ヘッダーフィールドを送信することで表現することができます。
Accept-Signature
クライアントは Accept-Signature ヘッダーフィールドを送信して、利用可能な署名を利用する意図を示したり、対応している署名の種類を示したりすることができます。
Alt-Svc
このサービスにたどり着く他の方法のリストに使用します。
Date
メッセージを生成した日時です。
Large-Allocation
読み込み中のページは大量の割り当てが必要であることをブラウザーに伝えます。
Link
Link エンティティヘッダーフィールドは、 HTTP ヘッダー内の1つ以上のリンクを記述する方法を提供します。意味的には HTML の <link> 要素と等価です。
Push-Policy
Push-Policy はリクエストを処理するときのプッシュ通知に関するサーバーの動作を定義します。
Retry-After
後続のリクエストを行う前に、ユーザーエージェントがどれだけの期間待つべきかを示します。
Signature
Signature ヘッダーフィールドは、交換のための署名のリストを伝え、それぞれはその署名の権威を決定して、そして更新する方法についての情報を伴います。
Signed-Headers
Signed-Headers ヘッダーフィールドは、シグネチャに含めるためのレスポンスヘッダーフィールドの順序付きリストを識別します。
Server-Timing
指定されたリクエストとレスポンスのサイクルについて、1つ以上のメトリクス又は説明を通信します。
SourceMap
生成されたコードと ソースマップ を関連付けます。
Upgrade
Upgrade ヘッダーフィールドに関連する RFC 文書は RFC 7230, section 6.7 です。標準仕様では、現在のクライアント、サーバー、トランスポート層プロトコル接続で別のプロトコルへ更新または変更するための規則を定めています。例えば、このヘッダー標準ではサーバーが Upgrade ヘッダーフィールドを認めて実装すると決める前提で、クライアントが HTTP 1.1 から HTTP 2.0 へ変更することを可能にします。どちらの相手も、 Upgrade ヘッダーフィールドで指定された要件を受け入れる必要はありません。これはクライアントのヘッダーでもサーバーのヘッダーでも使用できます。Upgrade ヘッダーフィールドを指定した場合は、更新オプションを指ヘッダーonnection ヘッダーフィールドも送信者が送信しなければなりません。Connection ヘッダーフィールドについて、詳しくは 前述の RFC のセクション 6.1 をご覧ください。
X-DNS-Prefetch-Control
ユーザーがたどるであろうリンクや、ドキュメントが参照する画像、 CSS、 JavaScript などのリソースのドメイン名解決をブラウザーが事前に行う機能である、 DNS プリフェッチを制御します。
X-Firefox-Spdy
...
X-Pingback
...
X-Requested-With
...
X-Robots-Tag
一般の検索エンジンの結果でウェブページをどのように索引付けをするかを示します。このヘッダーは <meta name="robots" content="..."> と等価です。
X-UA-Compatible
使用する文書モードを示すために Internet Explorer で使用されています。

協力

新しい項目を書いたり、既存のものを改善したりすることにご協力ください。

関連情報

関連トピック
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept
    2. Accept-Charset
    3. Accept-Encoding
    4. Accept-Language
    5. Accept-Patch [翻訳する]
    6. Accept-Ranges
    7. Access-Control-Allow-Credentials
    8. Access-Control-Allow-Headers
    9. Access-Control-Allow-Methods
    10. Access-Control-Allow-Origin
    11. Access-Control-Expose-Headers
    12. Access-Control-Max-Age
    13. Access-Control-Request-Headers
    14. Access-Control-Request-Method
    15. Age
    16. Allow
    17. Alt-Svc [翻訳する]
    18. Authorization
    19. Cache-Control
    20. Clear-Site-Data
    21. Connection
    22. Content-Disposition
    23. Content-Encoding
    24. Content-Language
    25. Content-Length
    26. Content-Location
    27. Content-Range
    28. Content-Security-Policy
    29. Content-Security-Policy-Report-Only
    30. Content-Type
    31. Cookie
    32. Cookie2
    33. Cross-Origin-Resource-Policy [翻訳する]
    34. DNT
    35. Date
    36. ETag
    37. Early-Data
    38. Expect
    39. Expect-CT
    40. Expires
    41. Feature-Policy
    42. Forwarded
    43. From
    44. Host
    45. If-Match
    46. If-Modified-Since
    47. If-None-Match
    48. If-Range
    49. If-Unmodified-Since
    50. 索引
    51. Keep-Alive
    52. Large-Allocation [翻訳する]
    53. Last-Modified
    54. Link [翻訳する]
    55. Location
    56. Origin
    57. Pragma
    58. Proxy-Authenticate
    59. Proxy-Authorization [翻訳する]
    60. Public-Key-Pins [翻訳する]
    61. Public-Key-Pins-Report-Only [翻訳する]
    62. Range
    63. Referer
    64. Referrer-Policy
    65. Retry-After
    66. Save-Data [翻訳する]
    67. Sec-WebSocket-Accept [翻訳する]
    68. Server
    69. Server-Timing
    70. Set-Cookie
    71. Set-Cookie2
    72. SourceMap
    73. Strict-Transport-Security
    74. TE [翻訳する]
    75. Timing-Allow-Origin [翻訳する]
    76. Tk
    77. Trailer [翻訳する]
    78. Transfer-Encoding
    79. Upgrade-Insecure-Requests [翻訳する]
    80. User-Agent
    81. Vary
    82. Via [翻訳する]
    83. WWW-Authenticate
    84. Warning [翻訳する]
    85. X-Content-Type-Options [翻訳する]
    86. X-DNS-Prefetch-Control
    87. X-Forwarded-For
    88. X-Forwarded-Host
    89. X-Forwarded-Proto
    90. X-Frame-Options
    91. X-XSS-Protection
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD [翻訳する]
    5. OPTIONS
    6. PATCH [翻訳する]
    7. POST
    8. PUT [翻訳する]
    9. TRACE
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols
    3. 103 Early Hints [翻訳する]
    4. 200 OK
    5. 201 Created
    6. 202 Accepted
    7. 203 Non-Authoritative Information
    8. 204 No Content
    9. 205 Reset Content
    10. 206 Partial Content
    11. 300 Multiple Choices
    12. 301 Moved Permanently
    13. 302 Found
    14. 303 See Other
    15. 304 Not Modified
    16. 307 Temporary Redirect
    17. 308 Permanent Redirect
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 403 Forbidden
    21. 404 Not Found
    22. 405 Method Not Allowed
    23. 406 Not Acceptable
    24. 407 Proxy Authentication Required
    25. 408 Request Timeout
    26. 409 Conflict
    27. 410 Gone
    28. 411 Length Required
    29. 412 Precondition Failed
    30. 413 Payload Too Large
    31. 414 URI Too Long
    32. 415 Unsupported Media Type
    33. 416 Range Not Satisfiable
    34. 417 Expectation Failed
    35. 418 I'm a teapot
    36. 422 Unprocessable Entity
    37. 425 Too Early
    38. 426 Upgrade Required
    39. 428 Precondition Required
    40. 429 Too Many Requests
    41. 431 Request Header Fields Too Large
    42. 451 Unavailable For Legal Reasons
    43. 500 Internal Server Error
    44. 501 Not Implemented
    45. 502 Bad Gateway
    46. 503 Service Unavailable
    47. 504 Gateway Timeout
    48. 505 HTTP Version Not Supported
    49. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri
    2. CSP: block-all-mixed-content
    3. CSP: child-src [翻訳する]
    4. CSP: connect-src [翻訳する]
    5. CSP: default-src
    6. CSP: font-src [翻訳する]
    7. CSP: form-action [翻訳する]
    8. CSP: frame-ancestors [翻訳する]
    9. CSP: frame-src [翻訳する]
    10. CSP: img-src [翻訳する]
    11. CSP: manifest-src [翻訳する]
    12. CSP: media-src [翻訳する]
    13. CSP: object-src [翻訳する]
    14. CSP: plugin-types [翻訳する]
    15. CSP: referrer
    16. CSP: report-uri [翻訳する]
    17. CSP: require-sri-for [翻訳する]
    18. CSP: sandbox [翻訳する]
    19. CSP: script-src
    20. CSP: style-src [翻訳する]
    21. CSP: upgrade-insecure-requests
    22. CSP: worker-src
    23. report-to
  22. CORS errors
    1. Reason: CORS disabled
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz'
    3. Reason: CORS header 'Access-Control-Allow-Origin' missing
    4. Reason: CORS header ‘Origin’ cannot be added
    5. Reason: CORS preflight channel did not succeed
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed
    8. Reason: CORS request not HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel
  23. Feature-Policy directives
    1. Feature-Policy: autoplay
    2. Feature-Policy: camera
    3. Feature-Policy: display-capture [翻訳する]
    4. Feature-Policy: encrypted-media
    5. Feature-Policy:fullscreen
    6. Feature-Policy:geolocation
    7. Feature-Policy:microphone
    8. Feature-Policy: midi
    9. Feature-Policy: payment
    10. Feature-Policy: vr
    11. document-domain [翻訳する]