Qu'est-ce que l'en-tête http Host?

L'en-tête Host indique au serveur Web quel hôte virtuel utiliser (si configuré). Vous pouvez même avoir le même hôte virtuel en utilisant plusieurs aliases (= domain et wildcard-domain). Dans ce cas, vous avez toujours la possibilité de lire cet en-tête manuellement dans votre application Web si vous souhaitez fournir un comportement différent en fonction des différents domaines adressés. Cela est possible car sur votre serveur Web, vous pouvez (et si je ne me trompe pas, vous devez le faire) configurer one vhost pour qu’il soit l’hôte par défaut. Ce vhost par défaut est utilisé chaque fois que l'en-tête Host ne correspond à aucun des hôtes virtuels configurés.

Cela signifie: vous comprenez bien, même si dire "plusieurs hôtes" peut être quelque peu trompeur: l'hôte (la machine adressée) est identique, ce qui est résolu en adresse IP est différent noms de domaine (y compris les sous-domaines) qui sont également appelés noms d'hôtes (mais pas les hôtes!).

Bien que cela ne fasse pas partie de la question, c'est un fait amusant: cette spécification a provoqué des problèmes avec SSL au tout début, car le serveur Web devait fournir le certificat correspondant au domaine que le client avait adressé. Toutefois, pour savoir quel certificat utiliser, le serveur Web doit connaître le nom d’hôte adressé à l’avance. Mais comme le client envoie ces informations uniquement via le canal crypté (ce qui signifie: après l'envoi du certificat), le serveur devait supposer que vous avez consulté l'hôte par défaut. Cela signifiait un domaine sécurisé par SSL/combinaison adresse/port.

Ceci a été résolu avec Indication du nom du serveur ; cependant, cela nuit encore à la confidentialité, car le nom du serveur est maintenant transféré en texte brut, de sorte que chaque homme au milieu voit le nom d'hôte auquel vous essayez de vous connecter. 

Bien que le serveur Web connaisse le nom d’hôte à partir de l’indication du nom du serveur, l’en-tête Host n’est pas obsolète, car les informations d’indication du nom du serveur ne sont utilisées que dans le dialogue TLS. Avec une connexion non sécurisée, il n'y a pas d'indication de nom de serveur, donc l'en-tête Host est toujours valide (et nécessaire).

Autre fait intéressant: la plupart des serveurs Web (si pas tous) rejettent votre demande http si elle ne contient pas exactement un en-tête Host, même s'il est possible de l'omettre car il n'y a que le vhost par défaut configuré. Cela signifie que les informations minimales requises dans une demande http- (get-) sont la première ligne contenant METHODRESOURCE et PROTOCOL VERSION et au moins l'en-tête Host-, comme ceci:

GET /someresource.html HTTP/1.1
Host: www.example.com

Vous voudrez peut-être lire la Documentation MDN sur l’en-tête-hôte pour plus d’informations, qui dit

Un champ d'en-tête d'hôte doit être envoyé dans tous les messages de requête HTTP/1.1. UNE 400 codes d'état (Bad Request) seront envoyés à toute requête HTTP/1.1 message qui ne contient pas de champ d'en-tête d'hôte ou en contient plusieurs.

Comme mentionné par Darrel Miller, les spécifications complètes se trouvent dans RFC7230 .