My HTTP Headers
See exactly what your browser is sending — and what it reveals about you.
Wondering how unique your browser is? Check your browser fingerprint — the signals websites use to identify you without any cookies.
Check Your Fingerprint →Was sind HTTP-Header?
Jedes Mal, wenn Ihr Browser eine Website öffnet, sendet er nicht nur eine Anfrage für die Seite — er sendet zusammen mit dieser Anfrage ein Paket von Metadaten. Diese Metadaten sind die HTTP-Header.
Sie tippen diese Header nie. Sie sehen sie beim normalen Surfen nie. Aber jeder Server, den Sie besuchen, liest sie, und sie verraten ĂĽberraschend viel ĂĽber Sie: welchen Browser Sie verwenden, welches Betriebssystem Sie nutzen, welche Sprachen Sie sprechen, woher Sie kommen, ob Sie hinter einem Proxy sind und welche Art von Inhalten Sie akzeptieren.
Das Live-Widget oben zeigt jeden Header, den Ihr Browser gesendet hat, um diese Seite zu laden. Unten finden Sie eine vollständige kategorisierte Referenz gängiger HTTP-Header, was jeder tut und was er verrät.
Was Ihre Header ĂĽber Sie verraten
Einige HTTP-Header sind technisch notwendig — sie teilen dem Server mit, wie er die Antwort formatieren soll. Andere sind Identitäts-Fingerabdrücke: Zusammen machen sie Ihren Browser im Internet eindeutig erkennbar, sogar ohne Cookies.
- Ihr User-Agent allein schränkt Sie auf einige Tausend Menschen ein. Manchmal weit weniger, abhängig von Ihrer Browser-/OS-/Architektur-Kombination.
- Accept-Language verrät Ihr Land und wahrscheinlich Ihre Muttersprache. Websites nutzen es zur Lokalisierung; Tracker nutzen es zum Erstellen von Profilen.
- Client Hints (Sec-CH-UA-*) sind neuere, präzisere Versionen des User-Agent. In Chromium-Browsern standardmäßig aktiviert, geben sie noch mehr Details preis. Safari weigert sich, sie aus Datenschutzgründen zu implementieren.
HTTP-Header-Referenz
~38 gängige Anfrage-Header, nach Zweck gruppiert.
Identifikations-Header
User-Agent#
Identifies your browser, version, rendering engine, and OS. The most fingerprintable single header. Combined with other data, it often makes you uniquely identifiable. Defined in RFC 9110 §10.1.5.
Sec-CH-UA#
"User-Agent Client Hints." A newer, structured replacement for User-Agent. Reveals browser brand and version in a machine-readable format. Sent by default in Chrome, Edge, and other Chromium browsers. Not sent by Safari or Firefox.
Sec-CH-UA-Platform#
Your OS family — "Windows", "macOS", "Linux", "Android", or "iOS". Sent by default in Chromium as a low-entropy hint.
Sec-CH-UA-Mobile#
?1 if you're on a mobile device, ?0 if not. Sent by default in Chromium alongside the other low-entropy Client Hints.
Sprache und Inhaltsaushandlung
Accept-Language#
Your preferred languages in priority order (e.g. en-US,en;q=0.9,fr;q=0.7). Servers use it to localize content; trackers use it to infer your country and native language.
Accept#
The MIME types your browser is willing to receive. Reveals which image formats and content types your browser supports — another fingerprinting signal.
Accept-Encoding#
Compression algorithms your browser supports (typically gzip, deflate, br, zstd). Lets the server send compressed responses to reduce transfer size.
Accept-Charset#
Character sets the client accepts. Almost always omitted by modern browsers — servers default to UTF-8 and this header became redundant.
Verbindung und Proxy-Kette
X-Forwarded-For#
The chain of IP addresses your request passed through. If you're behind a proxy or VPN, your real IP can still appear here as the leftmost address. Sites can read this to bypass simple VPN masking.
X-Real-IP#
Often set by reverse proxies (nginx, Caddy) to indicate the client's true IP, separate from the proxy chain.
CF-Connecting-IP#
Cloudflare's version of "your real IP." On any Cloudflare-protected site, this is what the origin server actually sees — not the Cloudflare edge node IP.
CF-IPCountry#
Two-letter country code Cloudflare detected from your IP (e.g. US, DE, IN).
CF-Ray#
Unique ID Cloudflare assigns to each request. Useful for debugging; useless for tracking you since it changes with every request.
Via#
Indicates intermediate proxies or gateways the request passed through. Rare for normal traffic; common in corporate networks and CDN chains.
Ursprung und Referrer
Referer#
The full URL of the page you came from. Reveals your browsing path to every site you visit. Many browsers now strip or shorten this for privacy. Note: yes, this is an official misspelling — the original 1996 spec (RFC 1945) had a typo, and it was too late to fix it.
Origin#
The scheme + host of the page making the request (no path, no query). Sent on cross-origin requests so the server can enforce CORS. Less leaky than Referer — it only reveals the site, not the specific page.
Sicherheit und Fetch-Metadaten
Sec-Fetch-Site#
Where the request originated: same-origin, same-site, cross-site, or none. Helps servers detect CSRF and SSRF attacks.
Sec-Fetch-Mode#
The mode: navigate (you clicked a link), cors, no-cors, same-origin, or websocket.
Sec-Fetch-Dest#
What the response is for: document, image, script, style, font, iframe, etc.
Sec-Fetch-User#
?1 if the request was triggered by user action (click, key press). Distinguishes user-initiated navigation from script-initiated requests.
Sec-Fetch-Storage-Access#
active or inactive — whether the request has access to unpartitioned cookies. Part of the Storage Access API (2024+), relevant for cross-site auth flows.
Caching
Cache-Control#
Instructions to caches (browser, CDN, proxy) about freshness and storage. Defined in RFC 9111.
If-None-Match#
Sent with an ETag from a previous response. The server replies 304 Not Modified if the resource hasn't changed — saves bandwidth.
If-Modified-Since#
A timestamp from your last fetch. Same idea as If-None-Match, older mechanism.
If-Match#
Only proceed if the resource matches the given ETag. Used for optimistic concurrency control in REST APIs.
Pragma#
Legacy HTTP/1.0 cache directive. Modern browsers may still send Pragma: no-cachefor backward compatibility, but it's deprecated in favor of Cache-Control.
Cookies und Zustand
Authentifizierung
Verbindungssteuerung und Leistung
Connection#
Usually keep-alive — keeps the TCP connection open for multiple sequential requests.
Host#
The domain you're connecting to. Required since HTTP/1.1 — allows virtual hosting on shared IPs.
Upgrade-Insecure-Requests#
1 if your browser prefers HTTPS responses over HTTP when both are available.
Save-Data#
on if the user has enabled "data saver" mode in the browser or OS. Sites can respond with lighter assets — smaller images, fewer fonts.
Priority#
Hints request priority (u= urgency, i= incremental) for HTTP/2 and HTTP/3 stream scheduling. Defined in RFC 9218.
Range#
Request only a byte range of the resource (e.g. bytes=0-1023). Used by video players, download managers, and resumable downloads.
Datenschutzsignale
DNT (Do Not Track)#
Set to 1 if you've enabled "do not track." Mostly ignored by sites — a polite request with no legal enforcement in most countries.
Sec-GPC (Global Privacy Control)#
1 if your browser signals "do not sell or share my personal data." Unlike DNT, GPC has legal standing under California's CCPA. Sent by Firefox by default, Brave, and DuckDuckGo browser; opt-in elsewhere.
So reduzieren Sie, was Ihre Header verraten
Sie können HTTP-Header nicht deaktivieren — sie sind für das Funktionieren des Webs erforderlich. Aber Sie können reduzieren, wie identifizierend sie sind:
- Verwenden Sie Firefox mit privacy.resistFingerprinting = true (about:config). Fälscht einen generischen User-Agent und standardisiert Zeitzone, Bildschirm und Sprache zwischen Nutzern.
- Verwenden Sie den Tor Browser für den stärksten Schutz — alle Tor-Nutzer präsentieren identische Header, sodass die gesamte Tor-Bevölkerung gleich aussieht.
- Verwenden Sie ein VPN, um Ihre IP vor Headern zu verbergen — beachten Sie jedoch, dass dies Ihren User-Agent, Accept-Language oder andere Fingerprinting-Signale nicht ändert.
- Deaktivieren Sie Client Hints in Chromium ĂĽber chrome://flags/#user-agent-reduction.
- Entfernen Sie den Referer mit einer Browsererweiterung (uBlock Origin erweiterter Modus, uMatrix).
Datenschutzresistenz erfordert, dass alle Nutzer Ihrer Browser-Konfiguration identisch aussehen. Einmalige Anpassungen machen Sie in der Regel einzigartiger, nicht weniger.
Häufig gestellte Fragen
Welche HTTP-Header sendet Chrome?
Standardmäßig sendet Chrome: Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection, plus niedrig-entropische Client Hints Sec-CH-UA, Sec-CH-UA-Mobile und Sec-CH-UA-Platform, die vollständige Sec-Fetch-*-Metadaten-Familie und Upgrade-Insecure-Requests: 1.
Welche HTTP-Header sendet Safari?
Safari sendet Host, User-Agent, Accept, Accept-Language, Accept-Encoding und Connection. Safari sendet keine Sec-CH-UA Client Hints — Apple hat deren Implementierung aus Datenschutzgründen abgelehnt.
Welche HTTP-Header sendet Firefox?
Firefox sendet Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection und Upgrade-Insecure-Requests. Firefox sendet keine Client Hints. Mit aktiviertem privacy.resistFingerprinting fälscht Firefox einen generischen User-Agent.
Kann ich meine HTTP-Header verbergen?
Nicht vollständig — Server benötigen die meisten davon, um korrekt zu antworten. Sie können identifizierende mit datenschutzorientierten Browsern oder Erweiterungen fälschen oder entfernen.
Ist mein User-Agent einzigartig?
Oft ja. Die Kombination aus Browser + Version + OS + Architektur schränkt die meisten Nutzer auf einige Tausend weltweit ein.
Was ist X-Forwarded-For?
Ein Header, der von Proxys und CDNs hinzugefĂĽgt wird und die ursprĂĽngliche Client-IP aufzeichnet. Wenn Sie hinter einem VPN sind, kann Ihre echte IP noch erscheinen.
Warum ist Referer falsch geschrieben?
Die HTTP/1.0-Spezifikation (RFC 1945, 1996) enthielt den Tippfehler. Die korrekte Schreibweise ist Referrer; der Header-Name bleibt Referer.
Sind HTTP-Header privat?
Nein. Jeder Server, mit dem Sie sich verbinden, sieht sie. Ăśber HTTPS sind die Header im Transit verschlĂĽsselt.
Kann eine Website meine echte IP sehen, wenn ich ein VPN verwende?
Die IP Ihres VPN-Exit-Knotens wird in den Verbindungs-Headern sein. WebRTC- und DNS-Lecks können jedoch manchmal Ihre echte IP separat preisgeben.
Was ist der Unterschied zwischen Referer und Origin?
Referer ist die vollständige URL der vorherigen Seite. Origin ist nur Schema + Host — weniger aufschlussreich. Origin wird bei Cross-Origin-Anfragen gesendet; Referer bei den meisten Navigationen.