My HTTP Headers
See exactly what your browser is sending — and what it reveals about you.
Wondering how unique your browser is? Check your browser fingerprint — the signals websites use to identify you without any cookies.
Check Your Fingerprint →Що таке HTTP-заголовки?
Щоразу, коли ваш браузер відкриває веб-сайт, він надсилає не лише запит на сторінку — він також надсилає пакет метаданих разом із цим запитом. Ці метадані є HTTP-заголовками.
Ви ніколи не вводите ці заголовки. Ви ніколи не бачите їх під час звичайного перегляду. Але кожен сервер, який ви відвідуєте, їх читає, і вони розкривають дивовижну кількість інформації про вас: який браузер ви використовуєте, яка у вас операційна система, якими мовами ви розмовляєте, звідки ви прийшли, чи знаходитесь ви за проксі, та який тип вмісту ви приймаєте.
Живий віджет вище показує кожен заголовок, який ваш браузер надіслав для завантаження цієї сторінки. Нижче наведено повний категоризований довідник поширених HTTP-заголовків, що робить кожен із них і що він розкриває.
Що ваші заголовки розкривають про вас
Деякі HTTP-заголовки є технічно необхідними — вони повідомляють серверу, як форматувати відповідь. Інші є відбитками ідентичності: разом вони роблять ваш браузер унікально впізнаваним в інтернеті, навіть без файлів cookie.
- Ваш User-Agent сам по собі звужує вас до кількох тисяч людей. Іноді значно менше, залежно від комбінації вашого браузера, ОС та архітектури.
- Accept-Language розкриває вашу країну і, ймовірно, рідну мову. Сайти використовують його для локалізації; трекери використовують його для побудови профілів.
- Client Hints (Sec-CH-UA-*) є новішими, точнішими версіями User-Agent. Увімкнені за замовчуванням у браузерах на основі Chromium, вони розкривають ще більше деталей. Safari відмовляється їх реалізовувати з міркувань конфіденційності.
Довідник HTTP-заголовків
~38 поширених заголовків запитів, згрупованих за призначенням.
Заголовки ідентифікації
User-Agent#
Identifies your browser, version, rendering engine, and OS. The most fingerprintable single header. Combined with other data, it often makes you uniquely identifiable. Defined in RFC 9110 §10.1.5.
Sec-CH-UA#
"User-Agent Client Hints." A newer, structured replacement for User-Agent. Reveals browser brand and version in a machine-readable format. Sent by default in Chrome, Edge, and other Chromium browsers. Not sent by Safari or Firefox.
Sec-CH-UA-Platform#
Your OS family — "Windows", "macOS", "Linux", "Android", or "iOS". Sent by default in Chromium as a low-entropy hint.
Sec-CH-UA-Mobile#
?1 if you're on a mobile device, ?0 if not. Sent by default in Chromium alongside the other low-entropy Client Hints.
Мова та узгодження вмісту
Accept-Language#
Your preferred languages in priority order (e.g. en-US,en;q=0.9,fr;q=0.7). Servers use it to localize content; trackers use it to infer your country and native language.
Accept#
The MIME types your browser is willing to receive. Reveals which image formats and content types your browser supports — another fingerprinting signal.
Accept-Encoding#
Compression algorithms your browser supports (typically gzip, deflate, br, zstd). Lets the server send compressed responses to reduce transfer size.
Accept-Charset#
Character sets the client accepts. Almost always omitted by modern browsers — servers default to UTF-8 and this header became redundant.
З'єднання та ланцюжок проксі
X-Forwarded-For#
The chain of IP addresses your request passed through. If you're behind a proxy or VPN, your real IP can still appear here as the leftmost address. Sites can read this to bypass simple VPN masking.
X-Real-IP#
Often set by reverse proxies (nginx, Caddy) to indicate the client's true IP, separate from the proxy chain.
CF-Connecting-IP#
Cloudflare's version of "your real IP." On any Cloudflare-protected site, this is what the origin server actually sees — not the Cloudflare edge node IP.
CF-IPCountry#
Two-letter country code Cloudflare detected from your IP (e.g. US, DE, IN).
CF-Ray#
Unique ID Cloudflare assigns to each request. Useful for debugging; useless for tracking you since it changes with every request.
Via#
Indicates intermediate proxies or gateways the request passed through. Rare for normal traffic; common in corporate networks and CDN chains.
Походження та реферер
Referer#
The full URL of the page you came from. Reveals your browsing path to every site you visit. Many browsers now strip or shorten this for privacy. Note: yes, this is an official misspelling — the original 1996 spec (RFC 1945) had a typo, and it was too late to fix it.
Origin#
The scheme + host of the page making the request (no path, no query). Sent on cross-origin requests so the server can enforce CORS. Less leaky than Referer — it only reveals the site, not the specific page.
Безпека та метадані fetch
Sec-Fetch-Site#
Where the request originated: same-origin, same-site, cross-site, or none. Helps servers detect CSRF and SSRF attacks.
Sec-Fetch-Mode#
The mode: navigate (you clicked a link), cors, no-cors, same-origin, or websocket.
Sec-Fetch-Dest#
What the response is for: document, image, script, style, font, iframe, etc.
Sec-Fetch-User#
?1 if the request was triggered by user action (click, key press). Distinguishes user-initiated navigation from script-initiated requests.
Sec-Fetch-Storage-Access#
active or inactive — whether the request has access to unpartitioned cookies. Part of the Storage Access API (2024+), relevant for cross-site auth flows.
Кешування
Cache-Control#
Instructions to caches (browser, CDN, proxy) about freshness and storage. Defined in RFC 9111.
If-None-Match#
Sent with an ETag from a previous response. The server replies 304 Not Modified if the resource hasn't changed — saves bandwidth.
If-Modified-Since#
A timestamp from your last fetch. Same idea as If-None-Match, older mechanism.
If-Match#
Only proceed if the resource matches the given ETag. Used for optimistic concurrency control in REST APIs.
Pragma#
Legacy HTTP/1.0 cache directive. Modern browsers may still send Pragma: no-cachefor backward compatibility, but it's deprecated in favor of Cache-Control.
Файли cookie та стан
Автентифікація
Керування з'єднанням та продуктивність
Connection#
Usually keep-alive — keeps the TCP connection open for multiple sequential requests.
Host#
The domain you're connecting to. Required since HTTP/1.1 — allows virtual hosting on shared IPs.
Upgrade-Insecure-Requests#
1 if your browser prefers HTTPS responses over HTTP when both are available.
Save-Data#
on if the user has enabled "data saver" mode in the browser or OS. Sites can respond with lighter assets — smaller images, fewer fonts.
Priority#
Hints request priority (u= urgency, i= incremental) for HTTP/2 and HTTP/3 stream scheduling. Defined in RFC 9218.
Range#
Request only a byte range of the resource (e.g. bytes=0-1023). Used by video players, download managers, and resumable downloads.
Сигнали конфіденційності
DNT (Do Not Track)#
Set to 1 if you've enabled "do not track." Mostly ignored by sites — a polite request with no legal enforcement in most countries.
Sec-GPC (Global Privacy Control)#
1 if your browser signals "do not sell or share my personal data." Unlike DNT, GPC has legal standing under California's CCPA. Sent by Firefox by default, Brave, and DuckDuckGo browser; opt-in elsewhere.
Як зменшити те, що розкривають ваші заголовки
Ви не можете вимкнути HTTP-заголовки — вони необхідні для роботи вебу. Але ви можете зменшити їх ідентифікуючу здатність:
- Використовуйте Firefox з privacy.resistFingerprinting = true (about:config). Підробляє загальний User-Agent і стандартизує часовий пояс, екран та мову для всіх користувачів.
- Використовуйте браузер Tor для найпотужнішого захисту — всі користувачі Tor надсилають ідентичні заголовки, тому вся мережа Tor виглядає однаково.
- Використовуйте VPN, щоб приховати свою IP-адресу від заголовків — але зверніть увагу, що це не змінює ваш User-Agent, Accept-Language або інші сигнали відстеження.
- Вимкніть Client Hints у Chromium через chrome://flags/#user-agent-reduction.
- Видаліть Referer за допомогою розширення браузера (розширений режим uBlock Origin, uMatrix).
Захист конфіденційності вимагає, щоб усі користувачі вашої конфігурації браузера виглядали однаково. Одиничні налаштування зазвичай роблять вас більш унікальним, а не менш.
Часті запитання
Які HTTP-заголовки надсилає Chrome?
За замовчуванням Chrome надсилає: Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection, а також низькоентропійні Client Hints Sec-CH-UA, Sec-CH-UA-Mobile та Sec-CH-UA-Platform, повне сімейство метаданих Sec-Fetch-* та Upgrade-Insecure-Requests: 1.
Які HTTP-заголовки надсилає Safari?
Safari надсилає Host, User-Agent, Accept, Accept-Language, Accept-Encoding та Connection. Safari не надсилає Client Hints Sec-CH-UA — Apple відмовилася їх реалізовувати, посилаючись на конфіденційність.
Які HTTP-заголовки надсилає Firefox?
Firefox надсилає Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Connection та Upgrade-Insecure-Requests. Firefox не надсилає Client Hints. З увімкненим privacy.resistFingerprinting Firefox підробляє загальний User-Agent.
Чи можу я приховати свої HTTP-заголовки?
Не повністю — серверам потрібна більшість з них для правильної відповіді. Ви можете підробити або видалити ідентифікуючі заголовки за допомогою браузерів, орієнтованих на конфіденційність, або розширень браузера.
Чи є мій User-Agent унікальним?
Часто так. Комбінація браузера + версії + ОС + архітектури звужує більшість користувачів до кількох тисяч у всьому світі.
Що таке X-Forwarded-For?
Заголовок, що додається проксі та CDN і фіксує оригінальну IP-адресу клієнта. Якщо ви перебуваєте за VPN, ваша справжня IP-адреса може все одно з'явитися тут.
Чому Referer написано з помилкою?
Специфікація HTTP/1.0 (RFC 1945, 1996) містила цю друкарську помилку. Правильне написання — Referrer; назва заголовка залишається Referer.
Чи є HTTP-заголовки приватними?
Ні. Кожен сервер, до якого ви підключаєтесь, їх бачить. По HTTPS заголовки зашифровані під час передачі.
Чи може веб-сайт побачити мою справжню IP-адресу, якщо я використовую VPN?
IP-адреса вихідного вузла VPN буде у заголовках з'єднання. Витоки WebRTC та DNS можуть іноді розкрити вашу справжню IP окремо.
У чому різниця між Referer та Origin?
Referer — це повна URL-адреса попередньої сторінки. Origin — лише схема + хост, менш розкривальний. Origin надсилається у запитах між джерелами для CORS; Referer — під час більшості навігацій.