Хотелось бы написать что-то про заголовки - для чего они, и как фронтендерам что-то использовать помимо Authorization Bearer. Можно просто открыть DevTools и посмотреть, что происходит на самом деле.

Вот что интересно: браузер может «угадывать» тип файла, если Content-Type не указан или неправильный. Это называется MIME-sniffing. Например, злоумышленник загружает файл с расширением .jpg, но внутри JavaScript-код. Браузер сначала думает «картинка», но потом смотрит содержимое и понимает «ой, тут JS!» - и выполняет код. Но если сервер отправляет X-Content-Type-Options: nosniff, то браузер строго следует указанному типу и не будет «угадывать».

Еще крутая штука - ETag. Сервер генерирует уникальный хеш для ресурса, браузер его запоминает. При следующем запросе отправляет If-None-Match: "abc123" с этим хешем. Если файл не изменился, сервер отвечает 304 Not Modified и не передает данные повторно. Экономия трафика и скорости.

А вот SameSite для cookies - это вообще магия. Set-Cookie: session=abc123; SameSite=Strict означает, что cookie не отправится в cross-site запросах (защита от CSRF), SameSite=Lax - только при навигации (например, переход по ссылке), а SameSite=None - всегда, но требует флаг Secure.

CSP-заголовки контролируют, откуда можно загружать ресурсы. Content-Security-Policy: default-src 'self' - только с того же домена, script-src 'self' https://cdn.com - скрипты с домена и CDN. Браузер блокирует все, что не разрешено.

Лучший способ разобраться - открыть Network tab и посмотреть, какие заголовки приходят и в каком порядке. Буду рад правкам или узнать о вашем опыте использования каких-либо headers. #http #headers #web