HTTP: Methoden, Statuscodes, Aufbau

Jedes Mal, wenn du eine Website aufrufst, eine API nutzt oder eine Datei herunterlädst, läuft im Hintergrund HTTP ab – das Hypertext Transfer Protocol. HTTP ist das Fundament des World Wide Web und gleichzeitig das meistgenutzte Anwendungsprotokoll überhaupt. Als angehende IT-Fachkraft begegnest du HTTP täglich: in Browser-Anfragen, REST-APIs, Webserver-Konfigurationen und Diagnosetools. Diese Lektion erklärt, wie HTTP aufgebaut ist, welche Methoden es gibt und was die Statuscodes bedeuten – prüfungsrelevant und praxisnah.

HTTP arbeitet nach dem Client-Server-Prinzip: Der Client (meist ein Browser) schickt eine Anfrage (Request), der Server antwortet mit einer Rückmeldung (Response). Das Protokoll läuft über TCP, standardmäßig auf Port 80 (unverschlüsselt) bzw. Port 443 bei HTTPS. HTTP ist zustandslos – jede Anfrage ist unabhängig, der Server merkt sich zwischen zwei Anfragen nichts. Für Sitzungen (Login, Warenkorb) werden deshalb Mechanismen wie Cookies oder Session-Tokens eingesetzt.

1) Aufbau einer HTTP-Anfrage und -Antwort

Eine HTTP-Kommunikation besteht immer aus zwei Teilen: dem Request (Anfrage vom Client) und dem Response (Antwort vom Server). Beide haben denselben grundlegenden Aufbau: eine Startzeile, Header-Felder und einen optionalen Body. Die folgende Simulation zeigt eine typische GET-Anfrage mit zugehöriger Server-Antwort.

HTTP-Kommunikation – Request & Response

HTTP Request: Browser fragt nach einer Seite

CLIENT → SERVER

GET /index.html HTTP/1.1 Host: www.beispiel.de User-Agent: Mozilla/5.0 (Windows NT 10.0) Chrome/120 Accept: text/html,application/xhtml+xml Accept-Language:de-DE,de;q=0.9 Connection: keep-alive <-- leere Zeile markiert Ende der Header, kein Body bei GET -->

Die Startzeile enthält Methode (GET), Pfad (/index.html) und HTTP-Version. Die Header liefern Metadaten: welchen Host der Client ansprechen will, welchen Browser er nutzt und welche Inhaltstypen er versteht. Bei GET gibt es keinen Body – die Anfrage enthält nur die Ressourcenadresse.

HTTP Response: Server antwortet mit Statuscode und Inhalt

SERVER → CLIENT

HTTP/1.1 200 OK Date: Mon, 12 May 2025 10:30:00 GMT Server: Apache/2.4.57 (Ubuntu) Content-Type: text/html; charset=UTF-8 Content-Length:4823 Cache-Control: max-age=3600 <-- leere Zeile --> <!DOCTYPE html> <html>...Inhalt der Seite...</html>

Die Statuszeile enthält HTTP-Version und Statuscode. Die Header beschreiben den zurückgegebenen Inhalt (Typ, Länge, Cache-Verhalten). Nach der Leerzeile folgt der Body – in diesem Fall der HTML-Quellcode der angefragten Seite.

HTTP/1.1 vs HTTP/2 vs HTTP/3 – die wichtigsten Unterschiede

# HTTP/1.1 – Standard seit 1997 → Eine Anfrage pro Verbindung (ohne Pipelining) → keep-alive erlaubt Verbindungswiederverwendung → Head-of-Line Blocking: langsame Ressource blockiert andere # HTTP/2 – Standard seit 2015 → Multiplexing: mehrere Anfragen parallel auf einer Verbindung → Header-Komprimierung (HPACK) → Server Push möglich → Binärprotokoll statt Textprotokoll # HTTP/3 – aktuell, nutzt QUIC statt TCP → UDP-basiert: kein TCP-Handshake, schnellerer Verbindungsaufbau → Kein Head-of-Line Blocking auf Transportebene → Integrierte Verschlüsselung (TLS 1.3)

Für die IHK-Prüfung ist HTTP/1.1 am relevantesten – die Grundprinzipien (Methoden, Statuscodes, Header) gelten für alle Versionen gleich.

2) HTTP-Methoden

HTTP definiert verschiedene Methoden (auch „Verben" genannt), die angeben, was der Client mit der adressierten Ressource tun möchte. Im Webentwicklungs- und API-Kontext spricht man von einem REST-Interface, wenn die HTTP-Methoden semantisch korrekt eingesetzt werden – GET für Abfragen, POST für Anlegen, PUT/PATCH für Ändern, DELETE für Löschen. Für die IHK sind GET und POST die wichtigsten Methoden, aber alle hier aufgeführten kommen in Prüfungsaufgaben vor.

Die wichtigsten HTTP-Methoden im Überblick

GET

Ressource abrufen. Kein Body. Parameter in der URL (?key=val). Ergebnis cachebar.

✓ sicher ✓ idempotent ✓ cachebar

POST

Daten senden / Ressource anlegen. Body enthält die Nutzdaten. Nicht cachebar.

✗ sicher ✗ idempotent ✗ cachebar

PUT

Ressource vollständig ersetzen. Mehrfach ausführen hat denselben Effekt.

✗ sicher ✓ idempotent

PATCH

Ressource teilweise ändern. Nur die mitgeschickten Felder werden aktualisiert.

✗ sicher ✗ idempotent (je nach Impl.)

DELETE

Ressource löschen. Mehrfach ausführen ergibt denselben Endzustand.

✗ sicher ✓ idempotent

HEAD

Wie GET, aber Server schickt nur Header, keinen Body. Für Link-Checks.

✓ sicher ✓ idempotent

OPTIONS

Welche Methoden unterstützt der Server für diese Ressource? Für CORS-Preflight.

✓ sicher ✓ idempotent

Sicher = keine Seiteneffekte (der Server wird nicht verändert). Idempotent = mehrfaches Ausführen ergibt dasselbe Ergebnis wie einmaliges Ausführen.

3) HTTP-Statuscodes

Jede HTTP-Antwort enthält einen dreistelligen Statuscode, der das Ergebnis der Anfrage beschreibt. Die erste Ziffer gibt die Klasse an – 2xx bedeutet Erfolg, 4xx bedeutet Client-Fehler, 5xx bedeutet Server-Fehler. Im Alltag siehst du diese Codes in Browser-Fehlermeldungen, Server-Logs und API-Antworten. Die IHK fragt Statuscodes regelmäßig – insbesondere 200, 301, 302, 400, 401, 403, 404 und 500.

Statuscodes nach Klassen

1xx – Informational (selten in der Praxis)

100

Continue – weiter senden

101

Switching Protocols

2xx – Success

200

OK – Anfrage erfolgreich

201

Created – Ressource angelegt

204

No Content – Erfolg, kein Body

3xx – Redirection

301

Moved Permanently – dauerhaft umgezogen

302

Found – vorübergehend woanders

304

Not Modified – Cache verwenden

4xx – Client Error

400

Bad Request – fehlerhafte Anfrage

401

Unauthorized – Anmeldung nötig

403

Forbidden – keine Berechtigung

404

Not Found – Ressource nicht gefunden

405

Method Not Allowed

408

Request Timeout

429

Too Many Requests – Rate Limit

5xx – Server Error

500

Internal Server Error – Server-Absturz

502

Bad Gateway – Proxy-Fehler

503

Service Unavailable – überlastet

Merkhilfe: 4xx = DU hast einen Fehler gemacht (Client). 5xx = DER SERVER hat ein Problem. 301 = dauerhaft (Permanent), 302 = vorübergehend (Found).

4) HTTP-Header im Detail

HTTP-Header übermitteln Metadaten zur Anfrage oder Antwort – sie steuern Caching, Authentifizierung, Komprimierung und Inhaltstypen. Du wirst Header täglich in Browser-Entwicklertools, Server-Konfigurationen und API-Dokumentationen begegnen. Die folgende Tabelle zeigt die wichtigsten Header, die in IHK-Aufgaben und im Berufsalltag auftauchen.

Header	Richtung	Bedeutung & Beispiel
`Host`	Request	Ziel-Hostname – zwingend bei HTTP/1.1. `Host: www.beispiel.de`
`Content-Type`	beide	MIME-Typ des Body. `application/json`, `text/html; charset=UTF-8`
`Authorization`	Request	Zugangsdaten. `Bearer eyJhbGci...` (Token) oder `Basic dXNlcjpwYXNz`
`Cache-Control`	beide	Cache-Verhalten. `no-cache`, `max-age=3600`, `no-store`
`Cookie`	Request	Gespeicherte Sitzungsdaten. `Cookie: session=abc123`
`Set-Cookie`	Response	Server setzt einen Cookie. Flags: `HttpOnly`, `Secure`, `SameSite`
`Location`	Response	Weiterleitungs-URL bei 3xx. `Location: https://neu.beispiel.de/`
`User-Agent`	Request	Browser/Client-Kennung. Wird für Browser-Detection verwendet.
`Accept`	Request	Welche Formate der Client akzeptiert. `Accept: application/json`
`ETag`	Response	Eindeutige Version einer Ressource – für Cache-Validierung.

5) GET vs. POST – der wichtigste Unterschied

In IHK-Aufgaben wird häufig gefragt, wann GET und wann POST zu verwenden ist. Der entscheidende Unterschied liegt darin, wo die Daten übertragen werden und welche Auswirkungen das auf Sicherheit und Verhalten hat.

GET

Parameter in der URL: ?user=max&pw=123
URL wird in Browser-History gespeichert
URL wird in Server-Logs protokolliert
Kein Body – begrenzte Datenmenge
Kann gecacht werden
Geeignet für: Suche, Navigation, Filter

POST

Parameter im Body – nicht in der URL sichtbar
Nicht in Browser-History
Nicht in Server-Logs (Body wird nicht geloggt)
Größere Datenmengen möglich
Nicht cachebar
Geeignet für: Login, Formulare, Dateiupload

Wichtig: POST ist nicht automatisch verschlüsselt – die Daten sind nur nicht in der URL sichtbar. Ohne HTTPS können POST-Daten trotzdem mitgelesen werden. Sicherheit durch Verschlüsselung bringt erst HTTPS/TLS.

6) HTTP in der Praxis: curl und Browser-Devtools

Mit dem Kommandozeilen-Tool curl kannst du HTTP-Anfragen direkt testen – ideal für die Diagnose von APIs und Webservern. Die Browser-Entwicklertools (F12 → Netzwerk) zeigen dir alle Requests und Responses mit Headers, Statuscodes und Timings in Echtzeit.

HTTP mit curl – Praxisbeispiele

# Einfacher GET-Request $ curl https://api.beispiel.de/users [{"id":1,"name":"Max"},{"id":2,"name":"Anna"}] # Headers anzeigen (-I = nur Header) $ curl -I https://www.beispiel.de HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Server: nginx/1.25.3 # POST-Request mit JSON-Body $ curl -X POST https://api.beispiel.de/login \ -H "Content-Type: application/json" \ -d '{"user":"max","password":"geheim"}' {"token":"eyJhbGci..."} # Verbose-Modus: zeigt Request UND Response Header $ curl -v https://www.beispiel.de > GET / HTTP/1.1 > Host: www.beispiel.de < HTTP/1.1 200 OK

Weitere Protokolle, die auf HTTP aufbauen oder eng damit zusammenhängen, behandeln folgende Lektionen: HTTPS und TLS im Alltag, FTP, SFTP und FTPS sowie die Portübersicht aller wichtigen Protokolle. Den Zusammenhang mit dem OSI-Modell (HTTP ist Schicht 7) erklärt das OSI-Referenzmodell.

HTTP: Methoden, Statuscodes, Aufbau

1) Aufbau einer HTTP-Anfrage und -Antwort

2) HTTP-Methoden

3) HTTP-Statuscodes

4) HTTP-Header im Detail

5) GET vs. POST – der wichtigste Unterschied

GET

POST

6) HTTP in der Praxis: curl und Browser-Devtools

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title