Tabela 1. Najważniejsze pola nagłówka HTTP

Litera P w kolumnie "Typ" oznacza, że pole jest używane w nagłówku wysyłanym przez przeglądarkę (zapytaniu HTTP); litera S - w nagłówku wysyłanym przez serwer (odpowiedzi HTTP). Znak zapytania przy literze P oznacza, że wystąpienie danego pola w zapytaniu, choć dopuszczalne przez specyfikację, jest mało sensowne.

Typ
Format
P
Accept: typ/danych; typ/danych ...
 
Umożliwia przeglądarce określenie, jakie typy danych są przez nią rozpoznawane. Na tej podstawie serwer może - jeżeli dysponuje danym dokumentem w kilku formatach - wysłać go w formacie najbardziej odpowiednim dla przeglądarki. Interesujący mechanizm, niestety bardzo rzadko wykorzystywany.
 
S
Accept-Ranges: bytes
 
Sygnalizuje przeglądarce, że serwer obsługuje możliwość przesyłania fragmentów plików, czyli umożliwia wznawianie transmisji od miejsca jej zerwania.
 
P
Authorization: metoda dane
 
Wymagane przy dostępie do stron WWW chronionych hasłem. Metoda jest nazwą użytej metody autoryzacji użytkownika (zazwyczaj "Basic"), dane to dane identyfikujące użytkownika, zależne od konkretnej metody.
 
S/P
Cache-Control: dyrektywa
 
Informuje przeglądarkę oraz ewentualne serwery proxy, pod jakimi warunkami treść dokumentu może być przechowywana w cache'u. Najczęściej używaną dyrektywą jest no-cache, zabraniająca przechowywania dokumentu. (Podobne działanie ma pole Pragma: no-cache)
 
S/P
Content-Length: liczba
 
Podaje wielkość (w bajtach) danych następujących po nagłówku. Przez przeglądarkę stosowane tylko przy wysyłaniu danych do formularza metodą POST.
 
S/P
Content-Type: typ/danych
 
Podaje typ MIME przesyłanych danych. Dla serwera obowiązkowe. Dla przeglądarki tylko przy wysyłaniu danych do formularza metodą POST (wówczas typ/danych ma postać application/x-www-form-urlencoded).
 
S/P?
Content-Range: bytes pierwszybajt-ostatnibajt/długośćpliku
 
Wraz z kodem odpowiedzi HTTP 206 (Partial content) stosowany przez serwer przy wznawianiu transmisji fragmentu pliku do zasygnalizowania, jaki fragment jest transmitowany.
 
P
Cookie: NAZWA=WARTOŚĆ; NAZWA=WARTOŚĆ ...
 
(Uwaga! Pole nie wchodzi w skład standardu HTTP!) Zawiera porcje informacji - "ciastka", zapamiętane przez przeglądarkę i odsyłane do serwera (por. rozdział "CGI i 'ciastka'").
 
S
Date: data i czas
 
Aktualna data i czas na serwerze. Pole obowiązkowe, chyba że serwer nie posiada zegara.
 
S
Expires: data i czas
 
Określa "termin ważności" strony. Po upływie tego terminu przy następnym odwołaniu do tej strony przeglądarka powinna ją ponownie ściągnąć.
 
P
Host: adres.domenowy.serwera
 
Pole obowiązkowe w protokole HTTP/1.1. Zawiera adres domenowy serwera, z którym się łączymy. Służy do rozróżnienia wielu serwerów wirtualnych pracujących na tym samym serwerze fizycznym z jednym adresem IP.
 
P
If-Modified-Since: data i czas
 
Nakazuje serwerowi przesłać dokument tylko wtedy, gdy został on zmodyfikowany później niż wskazana data i czas. W przeciwnym razie serwer odpowiada kodem odpowiedzi 304 (Not modified) i nie wysyła dokumentu.
 
S/P?
Last-Modified: data i czas
 
Podaje datę i czas ostatniej modyfikacji przesyłanego dokumentu. Brak tego pola oznacza najczęściej, że dokument jest generowany dynamicznie (przez skrypt).
 
S
Location: adres
 
Wraz z kodem odpowiedzi 301 (Moved permanently) lub 302 (Found) używany przez serwer do przekierowania przeglądarki na inną stronę, która powinna zostać załadowana zamiast żądanej przez przeglądarkę.
 
S/P
Pragma: no-cache
 
Zabrania przechowywania treści dokumentu w cache'u. Pole to pochodzi z protokołu HTTP 1.0; w HTTP 1.1 używa się pola Cache-Control.
 
P
Range: bytes=pierwszybajt-ostatnibajt
 
Używane przez przeglądarkę przy wznawianiu transmisji fragmentu pliku do zażądania konkretnego fragmentu.
 
P
Referer: adres
 
Podaje adres strony, z której przeszliśmy do bieżącej (np. klikając na niej odsyłacz). Pole to nie występuje w przypadku, gdy adres był podany w przeglądarce ręcznie.
 
S
Refresh: czas; url=adres
 
(Uwaga! Pole nie wchodzi w skład standardu HTTP!) Nakazuje przeglądarce, po upływie czas sekund, automatyczne załadowanie dokumentu określonego przez adres (może to być ten sam lub inny dokument). Analogiczną funkcję spełnia umieszczenie w kodzie HTML strony znacznika 
     <meta http-equiv="Refresh" content="czas; url=adres">

S
Set-Cookie: NAZWA=WARTOŚĆ; expires=data; domain=domena; path=ścieżka
 
(Uwaga! Pole nie wchodzi w skład standardu HTTP!) Umożliwia serwerowi przesyłanie danych do zapamiętania w przeglądarce, tzw. "ciastek" (por. rozdział "CGI i 'ciastka'").
 
S
Server: nazwa oprogramowania serwera
 
Identyfikuje nazwę i wersję oprogramowania serwera WWW.
 
P
User-Agent: nazwa przeglądarki
 
Identyfikuje nazwę i wersję przeglądarki.
 
S
WWW-Authenticate: metoda dane
 
Wraz z kodem odpowiedzi 401 (Unauthorized) informuje przeglądarkę, że dla dostępu do danej strony WWW wymagane jest hasło. Metoda jest nazwą użytej metody autoryzacji (zazwyczaj "Basic"), dane to dane niezbędne do zalogowania się użytkownika, zależne od konkretnej metody. W odpowiedzi na otrzymanie takiego nagłówka przeglądarka zazwyczaj powinna zapytać użytkownika o hasło i ponownie załadować stronę.