My HTTP Headers
See exactly what your browser is sending — and what it reveals about you.
Wondering how unique your browser is? Check your browser fingerprint — the signals websites use to identify you without any cookies.
Check Your Fingerprint →HTTPヘッダーとは何ですか?
ブラウザがウェブサイトを開くたびに、ページのリクエストだけでなく、メタデータのパケットも送信します。そのメタデータがHTTPヘッダーです。
これらのヘッダーを入力することはありません。通常のブラウジング中に見ることもありません。しかし、アクセスするすべてのサーバーがそれらを読み取り、あなたについて驚くほど多くのことを明らかにします。
上のライブウィジェットは、このページを読み込むためにブラウザが送信したすべてのヘッダーを表示しています。以下は一般的なHTTPヘッダーの完全な分類リファレンスです。
ヘッダーがあなたについて明らかにすること
一部のHTTPヘッダーは技術的に必要です。他のヘッダーはアイデンティティの指紋です:組み合わせることで、Cookieがなくてもブラウザが一意に識別可能になります。
- User-Agentだけで数千人に絞り込まれます。ブラウザ/OS/アーキテクチャによってはさらに少なくなります。
- Accept-Languageはあなたの国と母語を明らかにします。トラッカーはプロファイル構築に使用します。
- クライアントヒント(Sec-CH-UA-*)はUser-Agentの新しいバージョンです。Safariはプライバシー上の理由から実装を拒否しています。
HTTPヘッダーリファレンス
約38の一般的なリクエストヘッダーを目的別にグループ化。
識別ヘッダー
User-Agent#
Identifies your browser, version, rendering engine, and OS. The most fingerprintable single header. Combined with other data, it often makes you uniquely identifiable. Defined in RFC 9110 §10.1.5.
Sec-CH-UA#
"User-Agent Client Hints." A newer, structured replacement for User-Agent. Reveals browser brand and version in a machine-readable format. Sent by default in Chrome, Edge, and other Chromium browsers. Not sent by Safari or Firefox.
Sec-CH-UA-Platform#
Your OS family — "Windows", "macOS", "Linux", "Android", or "iOS". Sent by default in Chromium as a low-entropy hint.
Sec-CH-UA-Mobile#
?1 if you're on a mobile device, ?0 if not. Sent by default in Chromium alongside the other low-entropy Client Hints.
言語とコンテンツネゴシエーション
Accept-Language#
Your preferred languages in priority order (e.g. en-US,en;q=0.9,fr;q=0.7). Servers use it to localize content; trackers use it to infer your country and native language.
Accept#
The MIME types your browser is willing to receive. Reveals which image formats and content types your browser supports — another fingerprinting signal.
Accept-Encoding#
Compression algorithms your browser supports (typically gzip, deflate, br, zstd). Lets the server send compressed responses to reduce transfer size.
Accept-Charset#
Character sets the client accepts. Almost always omitted by modern browsers — servers default to UTF-8 and this header became redundant.
接続とプロキシチェーン
X-Forwarded-For#
The chain of IP addresses your request passed through. If you're behind a proxy or VPN, your real IP can still appear here as the leftmost address. Sites can read this to bypass simple VPN masking.
X-Real-IP#
Often set by reverse proxies (nginx, Caddy) to indicate the client's true IP, separate from the proxy chain.
CF-Connecting-IP#
Cloudflare's version of "your real IP." On any Cloudflare-protected site, this is what the origin server actually sees — not the Cloudflare edge node IP.
CF-IPCountry#
Two-letter country code Cloudflare detected from your IP (e.g. US, DE, IN).
CF-Ray#
Unique ID Cloudflare assigns to each request. Useful for debugging; useless for tracking you since it changes with every request.
Via#
Indicates intermediate proxies or gateways the request passed through. Rare for normal traffic; common in corporate networks and CDN chains.
オリジンとリファラー
Referer#
The full URL of the page you came from. Reveals your browsing path to every site you visit. Many browsers now strip or shorten this for privacy. Note: yes, this is an official misspelling — the original 1996 spec (RFC 1945) had a typo, and it was too late to fix it.
Origin#
The scheme + host of the page making the request (no path, no query). Sent on cross-origin requests so the server can enforce CORS. Less leaky than Referer — it only reveals the site, not the specific page.
セキュリティとフェッチメタデータ
Sec-Fetch-Site#
Where the request originated: same-origin, same-site, cross-site, or none. Helps servers detect CSRF and SSRF attacks.
Sec-Fetch-Mode#
The mode: navigate (you clicked a link), cors, no-cors, same-origin, or websocket.
Sec-Fetch-Dest#
What the response is for: document, image, script, style, font, iframe, etc.
Sec-Fetch-User#
?1 if the request was triggered by user action (click, key press). Distinguishes user-initiated navigation from script-initiated requests.
Sec-Fetch-Storage-Access#
active or inactive — whether the request has access to unpartitioned cookies. Part of the Storage Access API (2024+), relevant for cross-site auth flows.
キャッシング
Cache-Control#
Instructions to caches (browser, CDN, proxy) about freshness and storage. Defined in RFC 9111.
If-None-Match#
Sent with an ETag from a previous response. The server replies 304 Not Modified if the resource hasn't changed — saves bandwidth.
If-Modified-Since#
A timestamp from your last fetch. Same idea as If-None-Match, older mechanism.
If-Match#
Only proceed if the resource matches the given ETag. Used for optimistic concurrency control in REST APIs.
Pragma#
Legacy HTTP/1.0 cache directive. Modern browsers may still send Pragma: no-cachefor backward compatibility, but it's deprecated in favor of Cache-Control.
CookieとState
認証
接続制御とパフォーマンス
Connection#
Usually keep-alive — keeps the TCP connection open for multiple sequential requests.
Host#
The domain you're connecting to. Required since HTTP/1.1 — allows virtual hosting on shared IPs.
Upgrade-Insecure-Requests#
1 if your browser prefers HTTPS responses over HTTP when both are available.
Save-Data#
on if the user has enabled "data saver" mode in the browser or OS. Sites can respond with lighter assets — smaller images, fewer fonts.
Priority#
Hints request priority (u= urgency, i= incremental) for HTTP/2 and HTTP/3 stream scheduling. Defined in RFC 9218.
Range#
Request only a byte range of the resource (e.g. bytes=0-1023). Used by video players, download managers, and resumable downloads.
プライバシーシグナル
DNT (Do Not Track)#
Set to 1 if you've enabled "do not track." Mostly ignored by sites — a polite request with no legal enforcement in most countries.
Sec-GPC (Global Privacy Control)#
1 if your browser signals "do not sell or share my personal data." Unlike DNT, GPC has legal standing under California's CCPA. Sent by Firefox by default, Brave, and DuckDuckGo browser; opt-in elsewhere.
ヘッダーが明らかにする情報を減らす方法
HTTPヘッダーを無効にすることはできません。しかし、どれほど識別可能かを減らすことはできます:
- privacy.resistFingerprinting = true(about:config)を設定したFirefoxを使用してください。
- 最強の防御にはTorブラウザを使用してください——すべてのTorユーザーは同一のヘッダーを提示します。
- VPNでIPを隠せますが、User-AgentやAccept-Languageなどのフィンガープリンティング信号は変わりません。
- chrome://flags/#user-agent-reductionでChromiumのクライアントヒントを無効にしてください。
- ブラウザ拡張機能でRefererを削除してください(uBlock Origin高度モード、uMatrix)。
単発の調整は通常あなたをより独自的にします——その設定を持つ人がより少ないからです。
よくある質問
ChromeはどのHTTPヘッダーを送信しますか?
デフォルト:Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Connection、クライアントヒントSec-CH-UA系、完全なSec-Fetch-*ファミリー、Upgrade-Insecure-Requests: 1。
SafariはどのHTTPヘッダーを送信しますか?
SafariはHost、User-Agent、Accept、Accept-Language、Accept-Encoding、Connectionを送信します。Sec-CH-UAクライアントヒントは送信せず、Refererも積極的に削除します。
FirefoxはどのHTTPヘッダーを送信しますか?
FirefoxはHost、User-Agent、Accept、Accept-Language、Accept-Encoding、Connection、Upgrade-Insecure-Requestsを送信します。クライアントヒントは送信しません。
HTTPヘッダーを隠すことはできますか?
完全にはできません。プライバシー重視のブラウザや拡張機能で識別可能なものを偽装できます。
私のUser-Agentは一意ですか?
多くの場合、そうです。ブラウザ+バージョン+OS+アーキテクチャの組み合わせで数千人に絞り込まれます。
X-Forwarded-Forとは何ですか?
プロキシとCDNが追加するヘッダーで、元のクライアントIPを記録します。VPNの背後にいても本当のIPが表示される場合があります。
なぜRefererはスペルが間違っているのですか?
HTTP/1.0仕様(RFC 1945、1996年)のタイポが由来です。正しいスペルはReferrerですが、ヘッダー名はRefererのままです。
HTTPヘッダーはプライベートですか?
いいえ。HTTPSでは転送中に暗号化されます。プレーンHTTPではパス上の全員が見ます。
VPNを使用していても本当のIPを見られますか?
VPN出口ノードのIPが接続ヘッダーに含まれます。WebRTCやDNSのリークで本当のIPが露出する場合もあります。
RefererとOriginの違いは何ですか?
Refererは前のページの完全なURLです。OriginはスキームとホストのみでRefererより漏洩が少ないです。Originはクロスオリジンリクエストで送信されます。