L'outil fait-il une requête HTTP ?

Non. Vous collez vos en-têtes manuellement (depuis curl -I ou DevTools). L'outil ne fait jamais d'appel sortant.

Quels en-têtes sont expliqués ?

Cache-Control, CSP, HSTS, Set-Cookie, Authorization (Bearer/JWT), X-Frame-Options, ETag, Vary, et la plupart des en-têtes courants.

CSP est-il décomposé directive par directive ?

Oui, chaque directive est listée avec ses sources. Les directives risquées comme 'unsafe-eval' sont signalées.

🇫🇷WebFileTools/Décodeur d'en-têtes HTTP

Blog Statut Avis Patch Notes 🇬🇧 English

Décodeur d'en-têtes HTTP

Collez vos headers, chaque champ est expliqué directive par directive. Aucun appel sortant.

Coller les en-têtes (curl -I, DevTools…)

Content-TypeL2

text/html; charset=utf-8

MIMEtext/html; charset=utf-8

Cache-ControlL3

public, max-age=3600, must-revalidate

public

May be cached by any cache (proxies included).

max-age3600

Cache for 3600 seconds (~1h).

must-revalidate

Stale responses must not be served without revalidation.

Strict-Transport-SecurityL4

max-age=31536000; includeSubDomains; preload

max-age31536000

~365d

includeSubDomains

preload

Content-Security-PolicyL5

default-src 'self'; script-src 'self' 'unsafe-inline' https://cdn.example.com; style-src 'self' 'unsafe-inline'

default-src'self'

script-src'self' 'unsafe-inline' https://cdn.example.com

⚠️ Risky token detected (unsafe-inline or unsafe-eval)

style-src'self' 'unsafe-inline'

⚠️ Risky token detected (unsafe-inline or unsafe-eval)

X-Frame-OptionsL6

SAMEORIGIN

PolicySAMEORIGIN

Page can only be framed by same-origin pages.

Set-CookieL7

session=abc123; Path=/; Secure; HttpOnly; SameSite=Strict; Max-Age=3600

namesession

valueabc123

path/

secure✓

httponly✓

samesiteStrict

max-age3600

Hardened cookie.

AuthorizationL8

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkphbmUgRG9lIn0.fake

schemeBearer (JWT)

header{"alg":"HS256","typ":"JWT"}

payload{"sub":"1234","name":"Jane Doe"}

signature(not verified — only structural decode)

JWT decoded — signature NOT verified. Treat as untrusted unless you know the issuer.

ETagL9

"abc123"

ETag"abc123"

VaryL10

Accept-Encoding

vary onAccept-Encoding

Vous utilisez souvent cet outil ? Pro inclut des fichiers jusqu'à 500 Mo et un traitement prioritaire.

Donner un avis sur cet outil

Qu'est-ce que Décodeur d'en-têtes HTTP ?

Parser d'en-têtes HTTP qui explique chaque champ ligne par ligne : sécurité, cache, cookies, authentification.

Comment utiliser cet outil ?

Collez le bloc d'en-têtes obtenu via curl -I ou les DevTools, l'outil détecte chaque header et affiche une explication détaillée.

Avantages

Aucun appel sortant
CSP décomposé
Cache-Control en clair
Décodage Bearer JWT
100% navigateur

Questions fréquentes

L'outil fait-il une requête HTTP ?: Non. Vous collez vos en-têtes manuellement (depuis curl -I ou DevTools). L'outil ne fait jamais d'appel sortant.
Quels en-têtes sont expliqués ?: Cache-Control, CSP, HSTS, Set-Cookie, Authorization (Bearer/JWT), X-Frame-Options, ETag, Vary, et la plupart des en-têtes courants.
CSP est-il décomposé directive par directive ?: Oui, chaque directive est listée avec ses sources. Les directives risquées comme 'unsafe-eval' sont signalées.

Outils similaires

🌐

Calculateur CIDR

Calculez réseau, broadcast, hôtes, masque et sous-réseaux IPv4/IPv6 à partir d'une notation CIDR. Splitter et vérificateur d'appartenance inclus.

Utiliser →

🔁

Générateur de commande curl

Construisez visuellement votre commande curl puis exportez-la en fetch JS, axios ou Python requests. Importez aussi une commande curl existante.

Utiliser →

📜

Décodeur de certificat

Inspectez vos certificats X.509, CSR et clés privées PEM : sujet, émetteur, validité, SANs, empreintes. 100% navigateur, aucun envoi.

Utiliser →