Was bedeutet HTTP-Status-Code 521?

521 ist ein Cloudflare-Code mit der Bedeutung „Web Server Is Down" — Cloudflare konnte den Origin-Server überhaupt nicht erreichen. Der Code steht nicht in RFC 9110 oder MDN. Typische Ursachen: Der Origin ist offline, die Firewall blockt die Cloudflare-IP-Ranges, oder der Listening-Port ist falsch. Lösung: Origin-Status prüfen, Cloudflare-IP-Liste auf die Allow-Liste setzen, und SSL/TLS-Modus in der Cloudflare-Dashboard kontrollieren. Bei intermittierenden 521 lohnt es sich, die Cloudflare-Diagnostic-Page direkt aufzurufen.

Was ist der Unterschied zwischen 401 und 403?

401 bedeutet: keine oder ungültige Anmeldedaten. 403 bedeutet: Anmeldedaten sind korrekt, der Zugriff wird trotzdem verweigert. Bei 401 hilft ein erneuter Login mit gültigen Credentials, der Server stellt sogar einen WWW-Authenticate-Header bereit, der die nötige Auth-Methode beschreibt. Bei 403 hilft kein Login — der User ist bekannt und einfach nicht autorisiert für diese Ressource. Praktisch: 401 für API-Endpoints ohne Bearer-Token, 403 für API-Endpoints mit gültigem Token aber falscher Rolle. Mehr in [RFC 9110 §15.5.2](https://www.rfc-editor.org/rfc/rfc9110#name-401-unauthorized) und [§15.5.4](https://www.rfc-editor.org/rfc/rfc9110#name-403-forbidden).

Wann nutze ich 301, 302, 307 oder 308 für Redirects?

Für permanente Redirects ist 308 die moderne Wahl, für temporäre 307. Der Unterschied zu den älteren 301 und 302: 307 und 308 behalten die HTTP-Methode, 301 und 302 downgraden POST historisch auf GET. Permanenz steuert das SEO-Verhalten — Suchmaschinen übertragen Ranking-Signale bei 301 und 308. Praktisch: Bei `/blog/old-post` → `/blog/new-post` ist 308 richtig. Bei A/B-Test-Routing mit POST-Forms ist 307 sicherer als 302. [RFC 9110 §15.4](https://www.rfc-editor.org/rfc/rfc9110#name-redirection-3xx) erklärt alle vier.

Was bedeutet HTTP-Status 499?

499 ist ein nginx-interner Code, definiert in der nginx-Source und nicht in einer RFC. Bedeutung: Der Client hat die Verbindung geschlossen, bevor der Server die Antwort vollständig gesendet hat. Häufige Ursache: Mobile-App, in der der User wegnavigiert während eine Long-Polling-Verbindung offen ist. Im nginx-Access-Log erscheint 499, im Wireshark sieht man den Client-FIN/RST. Sind viele 499 ein Ärgernis, lohnt sich der Blick auf `proxy_ignore_client_abort` oder auf das Upstream-Service-Timeout. 499 vs 444: 444 ist serverseitig geschlossen, 499 clientseitig.

Was ist der Unterschied zwischen 502, 503 und 504?

502 bedeutet: Das Gateway hat vom Upstream eine ungültige Antwort bekommen. 503 bedeutet: Der Server selbst ist überlastet oder in Wartung. 504 bedeutet: Das Gateway hat innerhalb des Timeouts gar keine Antwort vom Upstream gehört. Bei 502 lohnt sich die Origin-Log-Inspektion (Crash, Worker-Reset). 503 ist oft mit einem Retry-After-Header verbunden — also „bitte später wiederkommen". 504 zeigt, dass die Origin-Antwort länger braucht als der Gateway-Timeout (typisch 60-100 s) — entweder Antwort beschleunigen oder Timeout hochziehen. RFC 9110 [§15.6.3-§15.6.5](https://www.rfc-editor.org/rfc/rfc9110#name-server-error-5xx) hat die Originaldefinitionen.

Welche Status-Codes gibt ein POST typischerweise zurück?

Bei erfolgreichem POST: 200 (generischer Erfolg mit Antwort-Body), 201 (Ressource wurde erstellt, mit Location-Header), 202 (asynchron in die Queue gestellt), 204 (Erfolg ohne Antwort-Body), oder 303 (Post-Redirect-Get-Pattern, leitet auf GET um). Bei Validierungs-Fehlern: 400 (Syntax kaputt), 422 (Syntax ok, Geschäftsregel verletzt), 409 (Konflikt mit aktuellem Ressourcen-Zustand). Bei Auth-Fehlern: 401 oder 403. Das Tool oben hat Method-Cross-Reference — du klickst „POST" und siehst alle relevanten Codes.

Welche RFC definiert HTTP-Status-Codes 2026?

RFC 9110 ist seit Juni 2022 die aktuelle HTTP-Semantik-Spezifikation und ersetzt das ältere RFC 7231. RFC 9110 fasst Methoden, Status-Codes, Header und Authentifizierung in einem Dokument zusammen. Spezielle Codes kommen aus weiteren RFCs: 308 aus [RFC 7538](https://www.rfc-editor.org/rfc/rfc7538), 425 Too Early aus [RFC 8470](https://www.rfc-editor.org/rfc/rfc8470), 103 Early Hints aus [RFC 8297](https://www.rfc-editor.org/rfc/rfc8297), 451 Unavailable For Legal Reasons aus [RFC 7725](https://www.rfc-editor.org/rfc/rfc7725). WebDAV-Codes (207, 422, 423, 424, 507) stehen in [RFC 4918](https://www.rfc-editor.org/rfc/rfc4918). Die [IANA Status Code Registry](https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml) ist die offizielle Liste.

Schickt dieses Tool meine Suche an einen Server?

Nein. Die komplette Status-Code-Datenbank ist im Browser-Bundle eingebettet — keine API, kein Backend, kein Logging. Du kannst das selbst überprüfen: F12 öffnen, Tab „Netzwerk", in der Suche tippen, und es bleibt bei den Page-Load-Requests — keine zusätzlichen Abfragen. Die Volltext-Suche, die Klassen-Filter und die Snippet-Generierung laufen alle als pure-client JavaScript. Kein Cookie wird gesetzt, kein `localStorage`-Eintrag bleibt zurück. Auch der „Plattform-Codes-only"-Toggle und der HTTP-Methoden-Filter passieren rein client-seitig — der Status-Code, den du suchst, verlässt deinen Browser nicht.

HTTP-Status-Codes — Cloudflare, nginx, Snippets

Was macht das HTTP-Status-Codes-Tool?

Das Tool ist ein durchsuchbarer Referenz-Catalog für HTTP-Status-Codes. Es deckt RFC 9110 vollständig ab — alle 1xx-Informational-, 2xx-Success-, 3xx-Redirection-, 4xx-Client-Error- und 5xx-Server-Error- Codes — und ergänzt um die Plattform-spezifischen Codes, die in der RFC-Registry fehlen, im Production- Log aber täglich auftauchen: Cloudflare 520-530, nginx 444 und 494-499, IIS 440 und 449, AWS Application Load Balancer 460/463 und CloudFront 561.

Pro Code zeigt das Tool: die kanonische Reason-Phrase, eine technische Erklärung in zwei bis vier Sätzen, die typischen HTTP-Methoden (POST liefert tendenziell 201, GET tendenziell 200), den Link zur Spezifikation (RFC, Cloudflare-Docs, nginx-Source) und einen Link zur Wikipedia-Übersicht für editorialen Kontext.

Welche Plattform-Codes deckt das Tool ab?

MDN dokumentiert nur den IANA-registrierten Standard. Tools, die im Production-Stack vorkommen, emittieren aber regelmäßig nicht-standardisierte Codes:

Cloudflare 520-527 und 530 — die komplette „Edge konnte den Origin nicht erreichen”-Familie. 521 (Origin offline), 522 (Connection-Timeout), 523 (Origin-DNS-Fehler), 524 (Origin-Antwort > 100 s), 525 und 526 (Origin-SSL-Probleme), 527 (Railgun-Fehler), 530 (Wrapper für 1xxx-Fehler).
nginx 444 und 494-499 — interne Codes aus der nginx-Source: 444 (Connection still gedroppt), 494 (Header zu groß), 495 und 496 (Client-Cert-Probleme), 497 (HTTP-auf-HTTPS-Port), 499 (Client hat Verbindung geschlossen).
IIS 440 und 449 — Microsoft-spezifische Codes: 440 (Login-Timeout), 449 (Retry-With).
AWS Application Load Balancer 460/463 und CloudFront 561 — Cloud-Provider-Edge-Codes für Client-Timeout, übergroße X-Forwarded-For-Chain, Lambda@Edge-Auth-Fail.

Der Filter „Nur Plattform-Codes” blendet den RFC-Standard aus und zeigt nur diese Welt — nützlich, wenn du nach einem konkreten 5xx-Vorfall im Cloudflare-Dashboard nachschlägst.

Was sind Verwechslungs-Cards?

Vier Code-Paare werden 2026 am häufigsten verwechselt — das Tool blendet automatisch eine Vergleichs-Karte ein, sobald du einen der Codes auswählst:

401 vs 403 — Authentifizierung (kein Login) vs Autorisierung (Login da, aber kein Recht).
301 vs 302 vs 307 vs 308 — Permanenz × Methoden-Erhalt als Wahrheits-Tabelle. 308 = permanent + method-preserving, die moderne Wahl.
400 vs 422 — HTTP-Layer-Fehler (Syntax, Framing) vs Geschäftsregel-Fehler (Validierung, Conflict). 422 nutzen, wenn das JSON syntaktisch ok ist aber das E-Mail-Feld ungültig.
502 vs 503 vs 504 — Upstream defekt vs Origin überlastet vs Upstream stumm. Die drei Gateway-Fehler sehen ähnlich aus, haben aber unterschiedliche Root-Cause-Diagnosen.

Pro Cluster gibt es eine ein-bis-zwei-Satz-Zusammenfassung und Buttons zu den Peer-Codes — Click-Through ohne URL-Wechsel.

Wie funktioniert der HTTP-Methoden-Filter?

Jeder Code in der Datenbank trägt eine Liste „typische HTTP-Methoden, die diesen Code erzeugen”. Der Filter „HTTP-Methode” blendet die Liste auf eine Methode ein: Klick „POST” zeigt nur Codes, die nach einem POST sinnvoll sind — 200, 201, 202, 204, 303, 307, 400, 409, 422, 429, 500. Klick „GET” zeigt die GET-typischen Codes — 200, 206, 301, 304, 404, 410.

Das ist die inverse Sicht zur Detail-Karte: Dort sagt jeder Code „diese Methoden lösen mich aus”, der Filter sagt „diese Methode liefert mir folgende Codes”.

Welche Snippet-Sprachen unterstützt der Export?

Sechs Zielsprachen, alle pure-client generiert:

TypeScript-Enum — export enum HttpStatus { NOT_FOUND = 404, … } mit JSDoc-Kommentaren.
Python-Dict — HTTP_STATUS_CODES = { 404: "Not Found", … } als Lookup-Map.
Go-Const-Block — const ( StatusNot_Found = 404 … ) im idiomatic Go-Style.
Rust-Enum — #[repr(u16)] pub enum HttpStatus { Not_Found = 404, … } mit u16-Repräsentation.
Java-Record — public record HttpStatus(int code, String name) plus statische Final-Constants.
Ruby-Module — module HttpStatus NOT_FOUND = 404 … end als Konstanten-Container.

Per Default emittiert der Export alle Codes — Standard plus Plattform-Codes. Du kannst die Auswahl per „Nur RFC-Standard”-Toggle einschränken, dann erscheint die Plattform-Welt nicht im generierten Code. Beide Snippets sind sauber kommentiert und können direkt in einen Codebase eingefügt werden — keine Tests, keine Abhängigkeiten, keine Compiler-Warnungen erwartet.

Warum läuft die Suche pure-client ohne Tracking?

Dieses Tool sendet keinen Request an einen Server. Die komplette Status-Code-Datenbank ist im JavaScript- Bundle eingebettet, die Suche läuft per String.prototype.toLowerCase und includes, die Snippet- Generierung per Template-String. Keine API-Calls, keine Telemetrie, keine Cookies, kein localStorage.

Mehr im OWASP Logging Cheat Sheet zur Frage, was eine Tool-Suche eigentlich preisgibt — und warum es bei sicherheits-relevanten Lookups (Status-Code-Recherche während eines Incidents) wichtig ist, dass die Suche nicht in einem fremden Log landet. Die IANA HTTP Status Code Registry ist die kanonische Quelle für IANA-registrierte Codes; alles darüber hinaus stammt direkt aus den Plattform-Dokumentationen (Cloudflare 5xx-Errors, nginx HTTP request processing, Microsoft IIS HTTP status codes).

HTTP-Status-Codes — Cloudflare, nginx, Snippets

So funktioniert es

Text oder Code einfügen

Automatische Verarbeitung

Ergebnis kopieren

Datenschutz

Wie benutzt du dieses Tool?