Un nombre de encabezado prohibido es un nombre de encabezado HTTP que no se puede modificar mediante programación; específicamente, un nombre de encabezado de HTTP solicitud HTTP.
Contrasta con el {{Glossary("Forbidden response header name")}}.
La modificación de estas cabeceras está prohibida, por lo que el agente de usuario mantiene el control total sobre ellos. Los nombres que comienzan con `Sec-` están reservados para crear nuevos encabezados seguros a partir de las {{glossary("API","APIs")}} que usan Fetch que otorgan a los desarrolladores control sobre las cabeceras, como {{domxref("XMLHttpRequest")}}.
Los nombres de encabezado prohibidos comienzan con Proxy- or Sec-, o se componen de uno de estos:
Accept-CharsetAccept-EncodingAccess-Control-Request-HeadersAccess-Control-Request-MethodConnectionContent-LengthCookieCookie2DateDNTExpectHostKeep-AliveOriginProxy-Sec-RefererTETrailerTransfer-EncodingUpgradeViaNota: El encabezadoUser-Agent ya no está prohibido, según la especificación — vea la lista de nombres prohibidos de encabezado (esta fue implementada en Firefox 43), por lo que ahora puede establecerse en un objecto Fetch Headers, a través de XHR setRequestHeader(), etc.