Que signifie le code de statut HTTP 521 ?

521 est un code propre à Cloudflare avec la signification « Web Server Is Down » — Cloudflare n’a pas pu joindre le serveur d’origine du tout. Le code ne figure ni dans la RFC 9110 ni sur MDN. Causes habituelles : l’origine est hors ligne, le pare-feu bloque les plages d’IP de Cloudflare, ou le port d’écoute est mauvais. Correctif : vérifie l’état de l’origine, ajoute la liste d’IP Cloudflare à l’allow-list, et passe en revue le mode SSL/TLS dans le tableau de bord Cloudflare. En cas de 521 intermittents, la page de diagnostic Cloudflare est l’étape suivante.

Quelle est la différence entre 401 et 403 ?

401 signifie : identifiants absents ou invalides. 403 signifie : les identifiants sont valides, mais l’accès est refusé quand même. Sur un 401, se reconnecter avec des identifiants valides aide ; le serveur renvoie même un en-tête WWW-Authenticate qui décrit la méthode d’authentification attendue. Sur un 403, se connecter ne change rien — l’utilisateur est identifié et tout simplement pas autorisé pour cette ressource. En pratique : 401 pour les endpoints API sans token Bearer, 403 pour les endpoints API avec un token valide mais un rôle insuffisant. Détails dans [RFC 9110 §15.5.2](https://www.rfc-editor.org/rfc/rfc9110#name-401-unauthorized) et [§15.5.4](https://www.rfc-editor.org/rfc/rfc9110#name-403-forbidden).

Quand utiliser 301, 302, 307 ou 308 pour les redirections ?

Pour une redirection permanente, 308 est le choix moderne ; pour une redirection temporaire, 307. La différence avec les anciens 301 et 302 : 307 et 308 préservent la méthode HTTP, tandis que 301 et 302 dégradent historiquement POST vers GET. La permanence détermine le comportement SEO — les moteurs de recherche transfèrent les signaux de classement avec 301 et 308. En pratique : pour `/blog/old-post` → `/blog/new-post`, c’est 308 qu’il faut. Pour un routeur d’A/B testing qui gère des formulaires POST, 307 est plus sûr que 302. [RFC 9110 §15.4](https://www.rfc-editor.org/rfc/rfc9110#name-redirection-3xx) explique les quatre.

Que signifie le statut HTTP 499 ?

499 est un code interne de nginx, défini dans le code source de nginx et non dans une RFC. Signification : le client a fermé la connexion avant que le serveur ait fini d’envoyer la réponse. Cause fréquente : une application mobile dans laquelle l’utilisateur change d’écran alors qu’une connexion long-polling est ouverte. Le log d’accès nginx affiche 499 ; dans Wireshark on voit le FIN/RST côté client. Si le bruit en 499 est élevé, regarde `proxy_ignore_client_abort` ou le timeout du service upstream. 499 vs 444 : 444 est une fermeture côté serveur ; 499, côté client.

Quelle est la différence entre 502, 503 et 504 ?

502 signifie : la passerelle a reçu une réponse invalide de l’upstream. 503 signifie : le serveur lui-même est surchargé ou en maintenance. 504 signifie : la passerelle n’a jamais reçu de réponse de l’upstream dans le timeout imparti. Sur un 502, inspecte le log d’origine (crash, redémarrage de worker). 503 est souvent accompagné d’un en-tête Retry-After — « réessaie plus tard ». 504 indique que la réponse de l’origine est plus lente que le timeout de la passerelle (typiquement 60-100 s) — soit accélérer la réponse, soit augmenter le timeout. RFC 9110 [§15.6.3-§15.6.5](https://www.rfc-editor.org/rfc/rfc9110#name-server-error-5xx) contient les définitions originales.

Quels codes de statut un POST renvoie-t-il habituellement ?

Sur un POST réussi : 200 (succès générique avec corps de réponse), 201 (ressource créée, avec en-tête Location), 202 (mis en file d’attente pour traitement asynchrone), 204 (succès sans corps) ou 303 (motif Post-Redirect-Get, redirige vers GET). Sur des erreurs de validation : 400 (syntaxe cassée), 422 (syntaxe correcte, règle métier violée), 409 (conflit avec l’état actuel de la ressource). Sur des erreurs d’authentification : 401 ou 403. L’outil ci-dessus propose un croisement par méthode — clique sur « POST » et tu vois tous les codes pertinents.

Quelle RFC définit les codes de statut HTTP en 2026 ?

La RFC 9110 est la spécification en vigueur de la sémantique HTTP depuis juin 2022 et remplace l’ancienne RFC 7231. La RFC 9110 réunit dans un seul document les méthodes, les codes de statut, les en-têtes et l’authentification. Les codes spécifiques viennent d’autres RFC : 308 de la [RFC 7538](https://www.rfc-editor.org/rfc/rfc7538), 425 Too Early de la [RFC 8470](https://www.rfc-editor.org/rfc/rfc8470), 103 Early Hints de la [RFC 8297](https://www.rfc-editor.org/rfc/rfc8297), 451 Unavailable For Legal Reasons de la [RFC 7725](https://www.rfc-editor.org/rfc/rfc7725). Les codes WebDAV (207, 422, 423, 424, 507) sont dans la [RFC 4918](https://www.rfc-editor.org/rfc/rfc4918). Le [registre IANA des codes de statut HTTP](https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml) est la liste officielle.

Cet outil envoie-t-il ma recherche à un serveur ?

Non. La base complète des codes de statut est intégrée dans le bundle du navigateur — pas d’API, pas de backend, pas de log. Tu peux le vérifier toi-même : ouvre F12, va dans l’onglet « Réseau », tape dans la recherche, et tu ne verras aucune requête au-delà du chargement initial de la page. La recherche plein-texte, les filtres par classe et la génération de snippets s’exécutent intégralement en JavaScript côté client. Aucun cookie n’est posé, aucune entrée ne reste dans `localStorage`. Le sélecteur « codes de plateforme uniquement » et le filtre par méthode HTTP sont aussi traités côté client — le code que tu cherches ne quitte jamais ton navigateur.

Codes de statut HTTP — Cloudflare, nginx, snippets

Que fait l’outil de codes de statut HTTP ?

L’outil est un catalogue de référence consultable pour les codes de statut HTTP. Il couvre la RFC 9110 intégralement — tous les codes 1xx informatifs, 2xx de succès, 3xx de redirection, 4xx d’erreur client et 5xx d’erreur serveur — et y ajoute les codes spécifiques aux plateformes que le registre IANA omet mais qui apparaissent chaque jour dans tes logs de production : Cloudflare 520-530, nginx 444 et 494-499, IIS 440 et 449, AWS Application Load Balancer 460/463 et CloudFront 561.

Pour chaque code l’outil affiche : la phrase canonique, une explication technique en deux à quatre phrases, les méthodes HTTP typiques (POST tend à renvoyer 201, GET tend à renvoyer 200), le lien vers la spécification (RFC, documentation Cloudflare, code source nginx) et un lien vers l’article Wikipedia pour le contexte éditorial.

Quels codes de plateforme l’outil couvre-t-il ?

MDN documente uniquement le standard enregistré par l’IANA. Les outils présents dans ta pile de production émettent pourtant régulièrement des codes non standard :

Cloudflare 520-527 et 530 — la famille complète « le edge n’a pas pu joindre l’origine ». 521 (origine hors ligne), 522 (timeout de connexion), 523 (erreur DNS d’origine), 524 (réponse d’origine > 100 s), 525 et 526 (problèmes SSL côté origine), 527 (erreur Railgun), 530 (wrapper pour les erreurs de la série 1xxx).
nginx 444 et 494-499 — codes internes du code source nginx : 444 (connexion fermée silencieusement), 494 (en-tête trop volumineux), 495 et 496 (problèmes de certificat client), 497 (requête HTTP sur un port HTTPS), 499 (le client a fermé la connexion).
IIS 440 et 449 — codes spécifiques à Microsoft : 440 (timeout de connexion), 449 (Retry With).
AWS Application Load Balancer 460/463 et CloudFront 561 — codes edge des fournisseurs cloud pour timeout client, chaîne X-Forwarded-For surdimensionnée et échec d’authentification Lambda@Edge.

Le filtre « codes de plateforme uniquement » masque le standard RFC et n’affiche que ce monde — utile quand tu enquêtes sur un incident 5xx précis dans le tableau de bord Cloudflare.

Que sont les fiches comparatives ?

Quatre paires de codes sont les plus confondues en 2026 — l’outil affiche automatiquement une fiche comparative dès que tu sélectionnes l’un d’entre eux :

401 vs 403 — authentification (pas de login) vs autorisation (connecté mais sans permission).
301 vs 302 vs 307 vs 308 — permanence × préservation de la méthode, présentées comme table de vérité. 308 = permanent + préservant la méthode, le choix moderne.
400 vs 422 — erreur de couche HTTP (syntaxe, framing) vs erreur de règle métier (validation, conflit). Utilise 422 quand le JSON est syntaxiquement correct mais que le champ e-mail est invalide.
502 vs 503 vs 504 — upstream cassé vs origine surchargée vs upstream silencieux. Les trois erreurs de passerelle se ressemblent mais ont des diagnostics de cause racine distincts.

Chaque groupe contient un résumé d’une ou deux phrases et des boutons vers les codes voisins — accès direct sans changement d’URL.

Comment fonctionne le filtre par méthode HTTP ?

Chaque code de la base porte une liste de « méthodes HTTP typiques qui produisent ce code ». Le filtre par méthode réduit la liste à une seule méthode : clique « POST » et tu ne vois que les codes qui ont du sens après un POST — 200, 201, 202, 204, 303, 307, 400, 409, 422, 429, 500. Clique « GET » et tu vois les codes typiques d’un GET — 200, 206, 301, 304, 404, 410.

C’est la vue inverse de la carte de détail : là, chaque code dit « ces méthodes me déclenchent » ; le filtre dit « cette méthode me renvoie les codes suivants ».

Quels langages de snippet l’export prend-il en charge ?

Six langages cibles, tous générés côté client :

Enum TypeScript — export enum HttpStatus { NOT_FOUND = 404, … } avec commentaires JSDoc.
Dict Python — HTTP_STATUS_CODES = { 404: "Not Found", … } comme table de correspondance.
Bloc const Go — const ( StatusNot_Found = 404 … ) dans le style idiomatique de Go.
Enum Rust — #[repr(u16)] pub enum HttpStatus { Not_Found = 404, … } avec représentation u16.
Record Java — public record HttpStatus(int code, String name) plus des constantes static final.
Module Ruby — module HttpStatus NOT_FOUND = 404 … end comme conteneur de constantes.

Par défaut l’export émet tous les codes — standard plus codes de plateforme. Tu peux restreindre la sélection avec le sélecteur « standard RFC uniquement » ; le monde des plateformes disparaît alors du code généré. Les snippets sont commentés proprement et peuvent être intégrés à une base de code tels quels — sans tests, sans dépendances, sans avertissements du compilateur.

Pourquoi cet outil tourne-t-il intégralement côté client, sans tracking ?

Cet outil n’envoie aucune requête à un serveur. La base complète des codes de statut est intégrée dans le bundle JavaScript, la recherche s’exécute via String.prototype.toLowerCase et includes, la génération de snippets via des template strings. Pas d’appel d’API, pas de télémétrie, pas de cookie, pas de localStorage.

Plus de détails dans la OWASP Logging Cheat Sheet sur ce qu’une recherche dans un outil expose réellement — et pourquoi, pour des requêtes à enjeu de sécurité (recherche de code de statut pendant un incident), il est important que la recherche ne finisse pas dans le log d’un tiers. Le registre IANA des codes de statut HTTP est la source canonique pour les codes enregistrés par l’IANA ; tout le reste provient directement de la documentation des plateformes (erreurs 5xx Cloudflare, traitement des requêtes HTTP par nginx, codes de statut HTTP Microsoft IIS).

Codes de statut HTTP — Cloudflare, nginx, snippets

Comment ça marche

Text oder Code einfügen

Automatische Verarbeitung

Ergebnis kopieren

Confidentialité

Comment utiliser cet outil ?