What HTTP headers does Chrome send?

By default, Chrome sends: Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection, plus low-entropy Client Hints Sec-CH-UA, Sec-CH-UA-Mobile, and Sec-CH-UA-Platform, the full Sec-Fetch-* metadata family, and Upgrade-Insecure-Requests: 1. Higher-entropy hints like Sec-CH-UA-Platform-Version are only sent when the server requests them via Accept-CH.

What HTTP headers does Safari send?

Safari sends Host, User-Agent, Accept, Accept-Language, Accept-Encoding, and Connection. Safari does not send Sec-CH-UA Client Hints as of 2026 — Apple has declined to implement them citing privacy. Safari also strips Referer more aggressively by default.

What HTTP headers does Firefox send?

Firefox sends Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection, and Upgrade-Insecure-Requests. Firefox does not send Client Hints. With privacy.resistFingerprinting enabled, Firefox spoofs a generic User-Agent and standardizes timezone, screen size, and language.

Can I hide my HTTP headers?

Not entirely — servers need most of them to respond correctly. You can spoof or strip identifying headers using privacy-focused browsers (Tor Browser, hardened Firefox with resistFingerprinting) or browser extensions.

Is my User-Agent unique?

Often yes. The combination of browser + version + OS + architecture narrows most users to a few thousand worldwide. Combined with Accept-Language and Sec-CH-UA-*, you typically become uniquely identifiable.

What is X-Forwarded-For?

A header added by proxies and CDNs that records the original client IP. If you are behind a VPN or corporate proxy, your real IP may still appear here — even though the connecting IP is the proxy.

Why is "Referer" misspelled?

The HTTP/1.0 spec (RFC 1945, 1996) contained the typo. By the time anyone noticed, it was deployed everywhere and impossible to change. The English spelling is "Referrer"; the header name remains Referer.

Are HTTP headers private?

No. Every server you connect to sees them. Over HTTPS, intermediaries see only the destination domain via SNI — or nothing at all if Encrypted Client Hello (ECH) is negotiated. Over HTTP, everyone in the path sees everything.

Can a website see my real IP if I use a VPN?

The IP your VPN exit node sends will be in the headers. However, WebRTC leaks, DNS leaks, and JavaScript-based detection can sometimes reveal your real IP separately from headers.

What's the difference between Referer and Origin?

Referer is the full URL of the previous page (path + query). Origin is just scheme + host. Browsers send Origin on cross-origin requests for CORS; Referer is sent on most navigation.

My HTTP Headers

See exactly what your browser is sending — and what it reveals about you.

Wondering how unique your browser is? Check your browser fingerprint — the signals websites use to identify you without any cookies.

Check Your Fingerprint →

HTTP हेडर क्या होते हैं?

जब भी आपका ब्राउज़र कोई वेबसाइट खोलता है, वह केवल पेज के लिए अनुरोध नहीं भेजता — वह मेटाडेटा का एक पैकेट भी भेजता है। वह मेटाडेटा ही HTTP हेडर होते हैं।

आप इन हेडर को कभी नहीं टाइप करते। सामान्य ब्राउज़िंग में इन्हें कभी नहीं देखते। लेकिन आप जो भी सर्वर विज़िट करते हैं, वह इन्हें पढ़ता है, और ये आपके बारे में बहुत कुछ उजागर करते हैं।

ऊपर का लाइव विजेट हर वह हेडर दिखाता है जो आपके ब्राउज़र ने इस पेज को लोड करने के लिए भेजा। नीचे सामान्य HTTP हेडर का एक पूर्ण वर्गीकृत संदर्भ है।

आपके हेडर आपके बारे में क्या उजागर करते हैं

कुछ HTTP हेडर तकनीकी रूप से आवश्यक होते हैं। अन्य पहचान की उंगलियों के निशान हैं: मिलकर ये आपके ब्राउज़र को कुकीज़ के बिना भी विशिष्ट रूप से पहचानने योग्य बना देते हैं।

आपका User-Agent अकेले ही आपको कुछ हज़ार लोगों तक सीमित कर देता है। ब्राउज़र/OS/आर्किटेक्चर के संयोजन पर कभी-कभी इससे भी कम।
Accept-Language आपके देश और संभवतः मातृभाषा को उजागर करता है। ट्रैकर इसे प्रोफाइल बनाने के लिए उपयोग करते हैं।
Client Hints (Sec-CH-UA-*) User-Agent के नए, अधिक सटीक संस्करण हैं। Safari ने गोपनीयता कारणों से इन्हें लागू करने से मना किया है।

HTTP हेडर संदर्भ

~38 सामान्य अनुरोध हेडर, उद्देश्य के अनुसार समूहीकृत।

पहचान हेडर

`User-Agent`#

Identifies your browser, version, rendering engine, and OS. The most fingerprintable single header. Combined with other data, it often makes you uniquely identifiable. Defined in RFC 9110 §10.1.5.

`Sec-CH-UA`#

"User-Agent Client Hints." A newer, structured replacement for User-Agent. Reveals browser brand and version in a machine-readable format. Sent by default in Chrome, Edge, and other Chromium browsers. Not sent by Safari or Firefox.

`Sec-CH-UA-Platform`#

Your OS family — "Windows", "macOS", "Linux", "Android", or "iOS". Sent by default in Chromium as a low-entropy hint.

`Sec-CH-UA-Mobile`#

?1 if you're on a mobile device, ?0 if not. Sent by default in Chromium alongside the other low-entropy Client Hints.

भाषा और सामग्री वार्ता

`Accept-Language`#

Your preferred languages in priority order (e.g. en-US,en;q=0.9,fr;q=0.7). Servers use it to localize content; trackers use it to infer your country and native language.

`Accept`#

The MIME types your browser is willing to receive. Reveals which image formats and content types your browser supports — another fingerprinting signal.

`Accept-Encoding`#

Compression algorithms your browser supports (typically gzip, deflate, br, zstd). Lets the server send compressed responses to reduce transfer size.

`Accept-Charset`#

Character sets the client accepts. Almost always omitted by modern browsers — servers default to UTF-8 and this header became redundant.

कनेक्शन और प्रॉक्सी श्रृंखला

`X-Forwarded-For`#

The chain of IP addresses your request passed through. If you're behind a proxy or VPN, your real IP can still appear here as the leftmost address. Sites can read this to bypass simple VPN masking.

`X-Real-IP`#

Often set by reverse proxies (nginx, Caddy) to indicate the client's true IP, separate from the proxy chain.

`CF-Connecting-IP`#

Cloudflare's version of "your real IP." On any Cloudflare-protected site, this is what the origin server actually sees — not the Cloudflare edge node IP.

`CF-IPCountry`#

Two-letter country code Cloudflare detected from your IP (e.g. US, DE, IN).

`CF-Ray`#

Unique ID Cloudflare assigns to each request. Useful for debugging; useless for tracking you since it changes with every request.

`Via`#

Indicates intermediate proxies or gateways the request passed through. Rare for normal traffic; common in corporate networks and CDN chains.

`Forwarded`#

The standardized version of X-Forwarded-For (RFC 7239). Slowly replacing the older X-prefixed variants.

उत्पत्ति और रेफरर

`Referer`#

The full URL of the page you came from. Reveals your browsing path to every site you visit. Many browsers now strip or shorten this for privacy. Note: yes, this is an official misspelling — the original 1996 spec (RFC 1945) had a typo, and it was too late to fix it.

`Origin`#

The scheme + host of the page making the request (no path, no query). Sent on cross-origin requests so the server can enforce CORS. Less leaky than Referer — it only reveals the site, not the specific page.

सुरक्षा और फेच मेटाडेटा

`Sec-Fetch-Site`#

Where the request originated: same-origin, same-site, cross-site, or none. Helps servers detect CSRF and SSRF attacks.

`Sec-Fetch-Mode`#

The mode: navigate (you clicked a link), cors, no-cors, same-origin, or websocket.

`Sec-Fetch-Dest`#

What the response is for: document, image, script, style, font, iframe, etc.

`Sec-Fetch-User`#

?1 if the request was triggered by user action (click, key press). Distinguishes user-initiated navigation from script-initiated requests.

`Sec-Fetch-Storage-Access`#

active or inactive — whether the request has access to unpartitioned cookies. Part of the Storage Access API (2024+), relevant for cross-site auth flows.

कैशिंग

`Cache-Control`#

Instructions to caches (browser, CDN, proxy) about freshness and storage. Defined in RFC 9111.

`If-None-Match`#

Sent with an ETag from a previous response. The server replies 304 Not Modified if the resource hasn't changed — saves bandwidth.

`If-Modified-Since`#

A timestamp from your last fetch. Same idea as If-None-Match, older mechanism.

`If-Match`#

Only proceed if the resource matches the given ETag. Used for optimistic concurrency control in REST APIs.

`Pragma`#

Legacy HTTP/1.0 cache directive. Modern browsers may still send Pragma: no-cachefor backward compatibility, but it's deprecated in favor of Cache-Control.

कुकीज़ और स्थिति

प्रमाणीकरण

`Authorization`#

Carries credentials (Basic, Bearer/JWT, Digest). Browsers only send this on navigation after a 401 Unauthorized challenge, or when explicitly set by JavaScript (e.g. API calls).

`Proxy-Authorization`#

Same idea as Authorization, but credentials for the proxy itself rather than the destination server.

कनेक्शन नियंत्रण और प्रदर्शन

`Connection`#

Usually keep-alive — keeps the TCP connection open for multiple sequential requests.

`Host`#

The domain you're connecting to. Required since HTTP/1.1 — allows virtual hosting on shared IPs.

`Upgrade-Insecure-Requests`#

1 if your browser prefers HTTPS responses over HTTP when both are available.

`Save-Data`#

on if the user has enabled "data saver" mode in the browser or OS. Sites can respond with lighter assets — smaller images, fewer fonts.

`Priority`#

Hints request priority (u= urgency, i= incremental) for HTTP/2 and HTTP/3 stream scheduling. Defined in RFC 9218.

`Range`#

Request only a byte range of the resource (e.g. bytes=0-1023). Used by video players, download managers, and resumable downloads.

गोपनीयता संकेत

`DNT (Do Not Track)`#

Set to 1 if you've enabled "do not track." Mostly ignored by sites — a polite request with no legal enforcement in most countries.

`Sec-GPC (Global Privacy Control)`#

1 if your browser signals "do not sell or share my personal data." Unlike DNT, GPC has legal standing under California's CCPA. Sent by Firefox by default, Brave, and DuckDuckGo browser; opt-in elsewhere.

अपने हेडर जो उजागर करते हैं उसे कैसे कम करें

आप HTTP हेडर अक्षम नहीं कर सकते। लेकिन आप उन्हें कितना पहचानने योग्य बनाते हैं उसे कम कर सकते हैं:

privacy.resistFingerprinting = true (about:config) के साथ Firefox का उपयोग करें।
सबसे मजबूत सुरक्षा के लिए Tor Browser का उपयोग करें — सभी Tor उपयोगकर्ता समान हेडर प्रस्तुत करते हैं।
VPN से IP छिपाएं — लेकिन यह User-Agent या अन्य फिंगरप्रिंटिंग सिग्नल नहीं बदलता।
chrome://flags/#user-agent-reduction से Chromium में Client Hints अक्षम करें।
ब्राउज़र एक्सटेंशन (uBlock Origin एडवांस्ड मोड, uMatrix) से Referer हटाएं।

एकबारगी बदलाव आमतौर पर आपको अधिक अनोखा बनाते हैं — उस कॉन्फिगरेशन वाले कम लोग हैं।

अक्सर पूछे जाने वाले प्रश्न

Chrome कौन से HTTP हेडर भेजता है?

डिफ़ॉल्ट रूप से: Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection, Client Hints Sec-CH-UA श्रृंखला, Sec-Fetch-* परिवार, Upgrade-Insecure-Requests: 1।

Safari कौन से HTTP हेडर भेजता है?

Safari Host, User-Agent, Accept, Accept-Language, Accept-Encoding और Connection भेजता है। Sec-CH-UA Client Hints नहीं भेजता और Referer को डिफ़ॉल्ट रूप से अधिक आक्रामक तरीके से हटाता है।

Firefox कौन से HTTP हेडर भेजता है?

Firefox Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection और Upgrade-Insecure-Requests भेजता है। Client Hints नहीं भेजता।

क्या मैं अपने HTTP हेडर छिपा सकता हूं?

पूरी तरह नहीं। गोपनीयता-केंद्रित ब्राउज़र या एक्सटेंशन से पहचान वाले हेडर नकली बना सकते हैं।

क्या मेरा User-Agent अनोखा है?

अक्सर हां। ब्राउज़र + संस्करण + OS + आर्किटेक्चर का संयोजन अधिकांश उपयोगकर्ताओं को कुछ हज़ार तक सीमित करता है।

X-Forwarded-For क्या है?

प्रॉक्सी और CDN द्वारा जोड़ा गया हेडर जो मूल क्लाइंट IP रिकॉर्ड करता है। VPN के पीछे होने पर भी असली IP यहां दिख सकता है।

Referer की स्पेलिंग गलत क्यों है?

HTTP/1.0 विनिर्देश (RFC 1945, 1996) में टाइपो था। सही स्पेलिंग Referrer है; हेडर का नाम Referer ही रहता है।

क्या HTTP हेडर निजी होते हैं?

नहीं। HTTPS पर ट्रांज़िट में एन्क्रिप्टेड होते हैं। सादे HTTP पर सभी देख सकते हैं।

VPN का उपयोग करने पर भी क्या असली IP दिख सकता है?

VPN एग्जिट नोड का IP कनेक्शन हेडर में होगा। WebRTC और DNS लीक से असली IP अलग से उजागर हो सकता है।

Referer और Origin में क्या अंतर है?

Referer पिछले पेज का पूरा URL है। Origin केवल स्कीम + होस्ट है — कम लीकी। Origin क्रॉस-ओरिजिन अनुरोधों पर भेजा जाता है; Referer अधिकांश नेविगेशन पर।

My HTTP Headers

HTTP हेडर क्या होते हैं?

आपके हेडर आपके बारे में क्या उजागर करते हैं

HTTP हेडर संदर्भ

पहचान हेडर

User-Agent#

Sec-CH-UA#

Sec-CH-UA-Platform#

Sec-CH-UA-Mobile#

भाषा और सामग्री वार्ता

Accept-Language#

Accept#

Accept-Encoding#

Accept-Charset#

कनेक्शन और प्रॉक्सी श्रृंखला

X-Forwarded-For#

X-Real-IP#

CF-Connecting-IP#

CF-IPCountry#

CF-Ray#

Via#

Forwarded#

उत्पत्ति और रेफरर

Referer#

Origin#