HTTPステータスコードリファレンス

100 Continue（継続）は、サーバーがリクエストの先頭部分（リクエストラインやヘッダーなど）を受信し、現時点で拒否する理由がないことを示す暫定レスポンスです。リクエスト全体が成功したことを意味するものではありません。主な用途は、クライアントが大きなボディ（ファイルアップロードや大量データ）を送る前に、サーバーが受け入れ可能かどうかを確認するためです。特にExpect: 100-continueヘッダーと組み合わせて使われ、クライアントはまずヘッダーのみを送り、サーバーが認証・権限・Content-Type・Content-Length・リソース制限などを早期チェックした後、続行許可が出たらボディを送信します。最終的な成否は後続のステータスコードで判断されます。

101 Switching Protocols（プロトコル切り替え）は、Upgradeヘッダーなどでクライアントがプロトコルのアップグレードを要求し、サーバーがその接続を別のプロトコルへ切り替えることに同意した暫定レスポンスです。通常のビジネスデータ返却の成功レスポンスではなく、プロトコルハンドシェイクの一部として使われます。101が返された後は、同じ接続上の後続のバイト列がUpgradeレスポンスヘッダーで指定されたプロトコルで解釈されます。代表例はWebSocketハンドシェイクで、HTTPリクエストに対しUpgrade/Connection/Sec-WebSocket系ヘッダーを検証し、101を返して以降は双方向WebSocket通信に切り替わります。

102 Processing（処理中）は、サーバーがリクエスト全体を受信し、まだ最終レスポンスを返せない状態であることを示す暫定レスポンスです。もともとWebDAVで、複数リソースの操作など長時間かかる処理のために導入されました。クライアントにリクエストが失われていない、サーバーはまだ作業中と伝えるためのものです。最終的な成功を示すものではありません。RFC 2518で定義されましたが、後のWebDAV仕様からは削除され、現在では一般的なWebサービスで意図的に返すことはほとんどありません。

103 Early Hints（早期ヒント）は、サーバーが最終レスポンス前に、最終レスポンスにも含まれる見込みのあるヘッダー（主にLinkヘッダー）を先に送信できる暫定レスポンスです。主な用途はパフォーマンス最適化であり、ビジネス的な成功や失敗を表すものではありません。HTML生成中やDB待ち、レンダリング待ち、上流呼び出し中でも、重要なCSS/JS/フォント/画像のLinkヘッダーを先に送ることで、ブラウザがpreconnect/preload/prefetchなどを早期に開始できます。103は最終レスポンスの代わりではなく、クライアントは必ず後続の最終ステータスを待つ必要があります。

104 Upload Resumption Supported（アップロード再開対応）は、アップロードリクエスト中に、そのリソースがHTTPアップロード再開（Resumable Upload）に対応していることをクライアントに通知する暫定レスポンスです。これはドラフト仕様に基づく一時的なコードで、安定したRFCではありません。アップロード成功を示すものではなく、ネットワーク切断やタブ閉じ、接続リセット、モバイル回線切替などでアップロードが中断しても、プロトコルに従い再開できることをクライアントに伝えます。

200 OK（成功）は、サーバーがリクエストを正常に処理し、メソッドに応じた適切なレスポンスを返したことを示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

201 Created（作成済み）は、リクエストが正常に処理され、サーバー側で新しいリソースが作成されたことを示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

202 Accepted（受理済み）は、サーバーがリクエストを処理用に受け付けたものの、最終結果はまだ確定していないことを示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

203 Non-Authoritative Information（非権威情報）は、レスポンス自体は成功だが、オリジンサーバーの正式な表現とは異なり、中継プロキシ等により内容が変更された場合に使います。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

204 No Content（本文なし）は、サーバーがリクエストを正常に完了し、レスポンスボディを持たないことを明示的に示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

205 Reset Content（内容のリセット）は、操作が成功し、ユーザーエージェントがドキュメントビューやフォーム、入力状態をリセットすることが期待される場合に使います。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

206 Partial Content（部分コンテンツ）は、リクエストされたリソース全体ではなく、一部のバイト範囲（Range）が含まれるレスポンスであることを示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

207 Multi-Status（複数ステータス）は、主にWebDAVで複数リソースにまたがる操作結果をマルチパートで返す場合に使われます。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

208 Already Reported（報告済み）は、同じWebDAVバインドメンバーの重複報告を避けるためのレスポンスです。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

226 IM Used（IM使用）は、サーバーがクライアントがサポートするインスタンス操作（例:デルタエンコーディング）を適用してGETリクエストに応答したことを示します。プロトコルレベルの結果をステータスコードで表し、レスポンス本文には安定したアプリケーションエラーコードやフィールド別バリデーション詳細、trace ID、リトライ指示、ドキュメントリンクなどを含めるのが推奨されます。

300 Multiple Choices（複数の選択肢）は、リクエストが複数の表現や転送先に一致した場合に返されます。ユーザーやクライアントがどれを選ぶか判断する必要がある状況です。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文で選択肢リストやアプリケーションエラーコード、フィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

301 Moved Permanently（恒久的に移動）は、リソースの正規URLが恒久的に変更されたことを示します。クライアントや検索エンジンは保存済みの参照を新しいURLに更新してよいと判断できます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

302 Found（一時的な移動）は、リクエストされたリソースが一時的に別のURLで利用可能であることを示します。将来のリクエストでは引き続き元のURLを使うべきです。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

303 See Other（他を参照）は、リクエストの結果が別のURIで取得可能であり、クライアントはそのURIにGETでアクセスすべきことを示します。主にPOST-リダイレクト-GETのようなフローで使われます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

304 Not Modified（未変更）は、条件付きリクエストが現在のリソース状態と一致したため、クライアントは自身のキャッシュをそのまま使えることを示します。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

305 Use Proxy（プロキシを使用）は、リクエストされたレスポンスがプロキシを通じてのみアクセス可能であることを示しますが、この仕組みは現代では非推奨かつ安全でないため、新しいシステムでは使われません。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

306 Unused（未使用）は、現時点でアクティブな意味が割り当てられていない予約コードです。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

307 Temporary Redirect（一時的リダイレクト）は、クライアントが同じリクエストメソッドと本文を維持したまま、一時的なLocationでリクエストを繰り返すべきことを示します。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

308 Permanent Redirect（恒久的リダイレクト）は、クライアントが元のリクエストメソッドを維持したまま新しい恒久的なURIへ移行すべきことを示します。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

400 Bad Request（不正なリクエスト）は、構文エラー・壊れたJSON・無効なパラメーター・不正なフレーミングなどにより、サーバーがリクエストを理解または処理できない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

401 Unauthorized（認証が必要）は、リクエストに有効な認証情報が含まれていない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

402 Payment Required（支払いが必要）は、支払いや商用権限がないとリクエストを完了できない場合に返されますが、標準仕様では具体的な決済フローは定義されていません。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

403 Forbidden（禁止）は、構文的には正しいリクエストでも、呼び出し元にその操作を許可しない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

404 Not Found（見つかりません）は、リクエストされたURL・ルート・リソースID・エンドポイントが呼び出し元から見て存在しない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

405 Method Not Allowed（許可されていないメソッド）は、対象リソースは存在するものの、そのHTTPメソッドは許可されていない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

406 Not Acceptable（受け入れ不可）は、クライアントのAccept系ヘッダーで求められたレスポンス形式・言語・文字コード・エンコーディングなどをサーバーが提供できない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

407 Proxy Authentication Required（プロキシ認証が必要）は、オリジンサーバーではなくプロキシサーバーが認証を要求していることを示します。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

408 Request Timeout（リクエストタイムアウト）は、クライアントが完全なリクエストを十分な速さで送信できなかった、または完了前に接続が長時間アイドル状態になったことを示します。サーバー処理が遅いという意味ではなく、サーバーがクライアント側の送信完了を待ってタイムアウトした状態です。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

409 Conflict（競合）は、リソースの状態、バージョン、ユニーク制約、同時更新ルールなどと衝突するため、サーバーがリクエストを完了できない場合に返されます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

410 Gone（消滅）は、対象リソースが意図的かつ恒久的に削除されたことを示します。クライアントや検索エンジンに対し、単なる一時的な未検出ではなく、今後も戻らない可能性が高いことを明確に伝えられます。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

411 Length Required（Content-Lengthが必要）は、リクエストに本文がある、または本文が想定されるにもかかわらず、必要な長さ情報が提供されていない場合に返されます。特にchunked転送を受け付けないサーバーや中間層で発生することがあります。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

412 Precondition Failed（前提条件失敗）は、条件付きリクエストが失敗したことを示します。多くの場合、クライアントが保持しているリソースバージョンが古く、If-Match、If-None-Match、If-Unmodified-Since、ETagなどの条件に一致しません。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文でアプリケーションエラーコードやフィールド別詳細、trace ID、リトライ指示、ドキュメントリンクなどを返すことが推奨されます。

413 Content Too Large（コンテンツが大きすぎます）は、リクエスト本文やアップロード内容が、サーバー・プロキシ・CDN・ゲートウェイ・アプリケーションフレームワークで許可されたサイズ上限を超えた場合に返されます。大容量ファイル、巨大なJSON、フォーム送信、画像・動画アップロードなどで発生しやすく、原因がアプリケーションではなくNginx、CDN、APIゲートウェイ、ロードバランサー側の制限にあることもあります。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文では許可される最大サイズ、エラーコード、trace ID、再試行や分割アップロードの案内を返すと、クライアント側で対処しやすくなります。

414 URI Too Long（URIが長すぎます）は、URL、パス、またはクエリ文字列が長すぎて、サーバー・プロキシ・CDN・ゲートウェイで処理できない場合に返されます。大量の検索条件をGETクエリに詰め込んだ場合、リダイレクトでURLが繰り返し伸びる場合、自動生成されたURLが制限を超えた場合などに発生しやすいコードです。HTTPステータスコードでプロトコル上の結果を示しつつ、レスポンス本文ではURL長の問題、短縮方法、POST本文への移行、trace IDなどを返すと、クライアント側で修正しやすくなります。

415 Unsupported Media Type（未対応のメディアタイプ）は、リクエスト本文のContent-Type、Content-Encoding、またはアップロード形式が、対象エンドポイントで受け付けられていない場合に返されます。レスポンス形式の交渉に失敗した406とは異なり、415は送信されたリクエスト本文の形式が問題です。JSON専用APIにXMLやform-dataを送った場合、multipart boundaryが壊れている場合、非対応の圧縮形式やファイル形式を送った場合などに使います。

416 Range Not Satisfiable（範囲を満たせません）は、Rangeヘッダーで要求された範囲が無効、または現在利用可能なリソース表現の範囲外である場合に返されます。ダウンロード再開、動画や音声のシーク、キャッシュ済みファイルサイズに基づく再取得などで発生しやすいコードです。クライアントはリソースの現在の長さやContent-Rangeを確認し、適切なRangeで再試行する必要があります。

417 Expectation Failed（期待条件失敗）は、クライアントがExpectヘッダーで要求した条件を、サーバーまたは中間層が満たせない場合に返されます。代表的なのはExpect: 100-continueに対する拒否で、サーバーが大きなリクエスト本文を受け取る前に、認証、権限、サイズ、Content-Type、その他の条件を見て早期に拒否する場面です。リクエスト本文そのものの検証結果ではなく、Expectヘッダーに関するプロトコル上の期待条件が満たせないことを示します。

418 I'm a teapot（私はティーポットです）は、サーバーがティーポットなのでコーヒーを淹れられないというジョークから生まれたステータスコードです。現在は主に歴史的・文化的な意味を持つコードであり、実運用のAPIエラーやビジネスエラーを表すためのものではありません。デモ、テスト、イースターエッグとして見かけることはありますが、公開APIでは標準的な4xxまたは5xxを使う方がクライアントにとって分かりやすく安全です。

419 Page Expired（ページの有効期限切れ）は、IANAに登録された標準HTTPステータスコードではありません。主にLaravelや一部のWebフレームワーク慣例で使われる非標準コードで、ページセッション、ログインセッション、CSRFトークンの期限切れを示すことが多いです。ただし、移植性のあるREST API契約として扱うべきではありません。ブラウザ、HTTPクライアント、監視ツール、クローラー、中間プロキシが一貫して理解するとは限らないため、公開APIでは標準コードへのマッピングを検討してください。

420 Enhance Your Calm（落ち着いてください）は、IANAに登録された標準HTTPステータスコードではありません。Twitterの旧API慣例に由来する非標準コードで、クライアントが短時間に多くのリクエストを送っている、またはサービス側のポリシー上過剰・攻撃的とみなされる挙動を示すために使われていました。新しい公開APIでは、標準化された429 Too Many Requestsを使う方が、クライアント、SDK、監視、プロキシにとって分かりやすく移植性があります。

421 Misdirected Request（誤った宛先へのリクエスト）は、接続やルーティングの層で、リクエストが本来処理すべきオーソリティとは異なるサーバーへ配送された場合に返されます。HTTP/2の接続再利用、TLSのSNI設定、Hostヘッダー、仮想ホスト、リバースプロキシのルーティング、複数ドメインを扱うTLS構成で発生することがあります。通常のルート未定義や権限不足ではなく、接続先・証明書・オーソリティ・プロキシ経路の不一致を示すコードです。

422 Unprocessable Content（処理できないコンテンツ）は、サーバーがリクエスト形式を理解でき、構文も有効だが、送信された値、フィールドの組み合わせ、業務ルール、状態遷移などの理由で処理できない場合に返されます。壊れたJSONや不正なContent-Typeではなく、意味的なバリデーション失敗を表すコードです。APIでは、どのフィールドがなぜ無効なのか、クライアントがどう修正すればよいのかをレスポンス本文で明確に返すと扱いやすくなります。

423 Locked（ロック中）は、対象リソースがロックされているため、現在のリクエストでは変更や操作を完了できないことを示します。WebDAV、共同編集、ファイル操作、ワークフロー管理など、リソースに明示的なロック概念がある場面で使われます。単なる権限不足や一般的な競合ではなく、誰か、または何らかの処理がリソースを保持しているため、クライアントはロック解除、期限切れ、または再試行を待つ必要があります。

424 Failed Dependency（依存関係の失敗）は、同じWebDAV操作、バッチ処理、または複数ステップのリソース操作の中で、依存している前段の処理が失敗したため、現在の操作を実行できないことを示します。現在のリクエスト単体の構文や権限だけが問題なのではなく、先に成功している必要がある別の操作、リソース状態、ロック解除、作成、更新などが失敗している点が重要です。

425 Too Early（早すぎるリクエスト）は、リクエストがTLS 0-RTT early dataとして送られた可能性があり、同じ内容が再送されると危険な副作用を起こすおそれがある場合に返されます。支払い、注文作成、在庫変更、ユーザー作成、状態更新など、冪等でない操作ではリプレイリスクが問題になります。サーバーは、安全なフルハンドシェイク後にクライアントへ再試行させるため、このコードで早期処理を拒否できます。

426 Upgrade Required（アップグレードが必要）は、現在のプロトコルではサーバーがリクエストを拒否するが、指定されたプロトコルへアップグレードすれば処理できる可能性があることを示します。HTTPからTLS、HTTP/1.1からHTTP/2、WebSocket、またはその他のプロトコル機能が必要な場面で使われます。レスポンスには、クライアントが何へアップグレードすべきかをUpgradeヘッダーなどで明示する必要があります。

428 Precondition Required（前提条件が必要）は、lost updateや安全でない上書きを防ぐため、サーバーがIf-Match、If-Unmodified-Since、ETagなどの前提条件ヘッダーを要求していることを示します。クライアントがリソースの現在状態を確認せずに更新しようとしている場合、サーバーはこのコードで拒否し、現在の表現を取得してから条件付きで再試行するよう促せます。412 Precondition Failedが送られた条件が失敗した状態であるのに対し、428はそもそも条件が必要なのに送られていない状態です。

429 Too Many Requests（リクエストが多すぎます）は、サーバーがクライアント、ユーザー、IP、tenant、API key、ルート単位などでレート制限を適用していることを示します。ログイン試行、SMSコード送信、API呼び出し、クローラー制御、bot対策、tenantごとのクォータ保護などでよく使われます。クライアントが後で安全に再試行できる場合は、Retry-Afterやレート制限ヘッダー、レスポンス本文で再試行タイミングや残り上限を明示すると扱いやすくなります。

430 Request Header Fields Too Large（リクエストヘッダーが大きすぎます）は、IANAに登録された標準HTTPステータスコードではありません。非標準のプラットフォーム慣例や実装固有の拡張として使われることがあり、Cookie、Authorization、カスタムヘッダーなどが大きすぎる、またはプラットフォーム固有のセキュリティルールで拒否されたことを示す場合があります。移植性のあるREST API契約としては扱わず、新しいシステムでは標準の431 Request Header Fields Too Largeを使う方が分かりやすいです。

431 Request Header Fields Too Large（リクエストヘッダーが大きすぎます）は、個別のヘッダー、またはヘッダー全体のサイズが大きすぎるため、サーバーがリクエストを拒否したことを示します。巨大なCookie、長すぎるAuthorization値、多すぎるカスタムヘッダー、トレーシングヘッダーの肥大化などで発生しやすいコードです。サーバー、CDN、ゲートウェイ、Nginx、アプリケーションフレームワークの制限に引っかかる場合があり、本文サイズの問題である413やURL長の問題である414とは区別します。

440 Login Time-out（ログインタイムアウト）は、IANAに登録された標準HTTPステータスコードではありません。Microsoft IISやExchange系の環境で使われる実装固有の非標準コードで、ログインセッションが期限切れになり、ユーザーが再度認証する必要がある状態を示すことがあります。移植性のあるREST API契約として扱うべきではなく、ブラウザ、HTTPクライアント、監視ツール、クローラー、中間プロキシが一貫して理解するとは限りません。公開APIでは、通常は401 Unauthorizedなどの標準コードへマッピングする方が安全です。

444 No Response（レスポンスなし）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、NginxがクライアントへHTTPレスポンスを返さず、そのまま接続を閉じたことを示します。悪意あるリクエスト、スキャナー、不正なHost、セキュリティルールに一致した通信を黙って切断する目的で使われることがあります。アプリケーションが返したビジネスエラーではなく、Nginx設定やセキュリティ層の挙動として扱う必要があります。

449 Retry With（追加情報付きで再試行）は、IANAに登録された標準HTTPステータスコードではありません。Microsoft IIS拡張として知られる非標準コードで、クライアントが追加情報や前提条件を付けて再試行する必要があることを示す場合があります。ただし、どの情報が必要かは標準化されていないため、移植性のあるREST API契約として使うべきではありません。新しい公開APIでは、状況に応じて400、401、403、409、428などの標準コードを使い、必要な情報をレスポンス本文で明確に説明する方が分かりやすいです。

450 Blocked by Windows Parental Controls（Windows保護者制限によるブロック）は、IANAに登録された標準HTTPステータスコードではありません。MicrosoftまたはWindows系の環境に関連する非標準・実装固有のコードで、Windowsの保護者制限に類似したローカルポリシー、エンタープライズポリシー、セキュリティソフトなどによりアクセスがブロックされたことを示す場合があります。移植性のあるREST API契約として扱うべきではなく、通常のアプリケーションエラーや法的ブロックとは切り分けて考える必要があります。

451 Unavailable For Legal Reasons（法的理由により利用不可）は、裁判所命令、著作権申し立て、規制上の制限、地域ごとの法的ブロック、コンプライアンス上の削除要請など、法的理由によりサーバーがリソースを提供できないことを示します。単なる権限不足や技術的な障害ではなく、法的制約がアクセス不能の主因であることをクライアントやクローラーに伝えるためのコードです。必要かつ安全な範囲で、対象地域、法的根拠、問い合わせ先、異議申し立て手段などをレスポンス本文に含めることがあります。

460 Client Closed Connection（クライアントが接続を閉じました）は、IANAに登録された標準HTTPステータスコードではありません。AWS Elastic Load Balancingの非標準・ベンダー固有コードで、ロードバランサーがレスポンスを返す前に、ブラウザ、モバイルアプリ、APIクライアントなどが接続を閉じたことを示します。オリジンアプリケーションが通常のHTTPレスポンスとして返したコードではなく、ALBアクセスログやロードバランサー側のタイミング情報と合わせて読む必要があります。

463 Too Many IP Addresses（IPアドレスが多すぎます）は、IANAに登録された標準HTTPステータスコードではありません。AWS Elastic Load Balancingの非標準・ベンダー固有コードで、X-Forwarded-Forなどの転送IPヘッダーに含まれるIPアドレス数が多すぎる場合に返されることがあります。プロキシチェーンが長すぎる、複数の中間層が繰り返しIPを追記している、またはクライアントや中間層がヘッダーを汚染している場合に発生します。

464 Incompatible Protocols（互換性のないプロトコル）は、IANAに登録された標準HTTPステータスコードではありません。AWS Elastic Load Balancingの非標準・ベンダー固有コードで、クライアント、ロードバランサー、ターゲットグループ、バックエンドサービスのプロトコル設定が互換していない場合に返されることがあります。HTTP/1.1、HTTP/2、gRPC、TLS、ターゲットグループのprotocol version、リスナー設定の不一致が主な原因です。オリジンアプリケーションの通常の500ではなく、ALB設定とバックエンドプロトコルの整合性を確認する必要があります。

494 Request Header Too Large（リクエストヘッダーが大きすぎます）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、Cookie、リクエストヘッダー、またはリクエスト行がNginxの許容サイズを超えた場合に使われることがあります。標準の431 Request Header Fields Too Largeに近い意味ですが、Nginxの内部的・実装固有の診断シグナルとして扱うべきです。

495 SSL Certificate Error（SSL証明書エラー）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、mTLSなどで提示されたクライアント証明書の検証に失敗した場合に使われることがあります。証明書チェーン、信頼されたCA、期限切れ、署名、失効状態、ssl_client_certificate設定などが原因になり得ます。通常のログイン失敗ではなく、TLSクライアント証明書検証の失敗として扱う必要があります。

496 SSL Certificate Required（SSL証明書が必要）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、mTLSなどでクライアント証明書が必須にもかかわらず、クライアントが証明書を提示しなかった場合に使われることがあります。これは通常のBearer tokenやCookie認証の失敗ではなく、TLSハンドシェイク時のクライアント証明書要件に関する問題です。

497 HTTP Request Sent to HTTPS Port（HTTPSポートへのHTTPリクエスト）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、TLSを前提とするHTTPSポートに対して、暗号化されていない通常のHTTPリクエストが送られた場合に使われることがあります。アプリケーションのビジネスロジックではなく、ポート、リスナー、TLS終端、リダイレクト設定、プロキシ設定の不一致として調査する必要があります。

498 Invalid Token（無効なトークン）は、IANAに登録された標準HTTPステータスコードではありません。Esri ArcGISや一部のカスタムAPI慣例で使われる非標準コードで、アクセストークンが無効、期限切れ、署名不一致、環境違い、スコープ不足などの理由で受け付けられないことを示す場合があります。公開APIでは通常、401 Unauthorizedまたは403 Forbiddenを使い、実装固有の理由はレスポンス本文で表す方が移植性があります。

499 Client Closed Request（クライアントがリクエストを閉じました）は、IANAに登録された標準HTTPステータスコードではありません。Nginx固有の非標準コードで、Nginxが上流サーバーの応答を待っている間に、ブラウザ、モバイルアプリ、APIクライアントなどが接続を閉じたことを示します。ユーザーのページ遷移、ブラウザのキャンセル、AbortController、フロントエンドのtimeout、モバイルネットワーク切断などが原因になり得ます。これはサーバーがクライアントへ返した通常のHTTPレスポンスではなく、Nginxログ上の診断シグナルとして扱います。

500 Internal Server Error（内部サーバーエラー）は、サーバーがリクエストを処理中に予期しないエラーに遭遇し、より具体的な5xxステータスで表せない場合に返されます。未捕捉例外、アプリケーションクラッシュ、テンプレートエラー、依存サービスの異常、設定ミスなどが原因になり得ます。クライアント入力の問題を隠すための汎用コードではなく、サーバー側で調査すべき失敗として扱います。公開レスポンスでは、内部スタックトレースや秘密情報を出さず、安定したエラーコード、分かりやすいメッセージ、trace IDを返すのが安全です。

501 Not Implemented（未実装）は、リクエストで必要とされるHTTPメソッド、プロトコル機能、またはサーバー機能を、サーバー全体としてサポートしていない場合に返されます。特定のリソースでそのメソッドを許可していないだけなら405 Method Not Allowedの方が適切です。未実装のアプリケーション機能や、権限不足、非公開機能を表すための汎用コードではなく、サーバーがその機能自体を実装していないことを示すコードとして使います。

502 Bad Gateway（不正なゲートウェイ）は、リバースプロキシ、APIゲートウェイ、CDN、サービスメッシュ、ロードバランサーなどの中間層が、上流サービスから有効なHTTPレスポンスを取得できなかったことを示します。上流アプリケーションのクラッシュ、接続リセット、不正なヘッダー、プロトコル不一致、TLSやポート設定の問題などが原因になり得ます。504が上流の応答待ちタイムアウトを示すのに対し、502は上流から無効または異常な応答を受けた状態に近いです。

503 Service Unavailable（サービス利用不可）は、サーバーが過負荷、メンテナンス中、一時停止中、依存サービス停止中、または自己保護のため、現在リクエストを処理できないことを示します。恒久的な削除やクライアント入力の問題ではなく、一時的な利用不可状態を表すコードです。クライアントが後で安全に再試行できる場合は、Retry-Afterやレスポンス本文で復旧見込みや再試行タイミングを示すと扱いやすくなります。

504 Gateway Timeout（ゲートウェイタイムアウト）は、中間層が上流サービスへ接続できた、または接続を試みたものの、期待された時間内にHTTPレスポンスを受け取れなかったことを示します。遅い上流API、重いDBクエリ、ブロックされたサービスチェーン、proxy read timeout、長時間処理などで発生します。502が無効な上流レスポンスに近いのに対し、504は主に応答待ちのタイムアウトです。

505 HTTP Version Not Supported（HTTPバージョン非対応）は、クライアントが使用したHTTPバージョンを、サーバーが拒否またはサポートできない場合に返されます。HTTP/1.0、HTTP/2、HTTP/3、ALPN、プロキシやロードバランサーとのプロトコル不一致などで発生することがあります。APIのバージョン番号やアプリケーション機能のバージョン違いではなく、HTTPプロトコルのバージョンに関する問題です。アップグレード経路がある場合は426 Upgrade Requiredの方が適切なことがあります。

506 Variant Also Negotiates（バリアントもネゴシエーションします）は、選択されたバリアントリソース自体もコンテンツネゴシエーションを行うよう設定されており、ネゴシエーションの循環や設定矛盾が発生していることを示します。通常のAcceptヘッダー不一致ではなく、透過的コンテンツネゴシエーションやバリアントリソースのマッピング設定に問題がある場合のサーバー側エラーです。現在のWeb APIではあまり見かけませんが、古いコンテンツネゴシエーション設定や特殊なサーバー構成では診断対象になります。

507 Insufficient Storage（ストレージ不足）は、サーバーが操作を完了するために必要な表現やファイル、メタデータを保存できないことを示します。WebDAVの書き込み、ファイルアップロード、一時ディレクトリの枯渇、ディスク容量不足、オブジェクトストレージのクォータ超過、ユーザー単位の保存容量上限などで発生します。リクエスト本文が大きすぎるだけなら413に近く、リソースがロックされているなら423に近いため、実際にストレージ容量やクォータが原因かを確認する必要があります。

508 Loop Detected（ループを検出）は、WebDAVのbinding、再帰的なディレクトリ走査、リソース参照、コレクション処理などで無限ループが検出されたことを示します。アプリケーションコードの一般的な無限ループやクラッシュを表すためのものではなく、リソース構造や参照グラフに循環があることを示すWebDAV拡張由来のステータスコードです。

509 Bandwidth Limit Exceeded（帯域制限を超過）は、IANAに登録された標準HTTPステータスコードではありません。Apache/cPanel系ホスティングの慣例として知られる非標準コードで、共有ホスティングのアカウント、サイト、プラン、tenantが帯域幅や転送量の上限を超えたことを示す場合があります。標準HTTPの意味としては移植性が低く、公開APIでは通常、429や503、または構造化されたquotaエラー本文で表現する方が分かりやすいです。

510 Not Extended（拡張されていません）は、古いHTTP拡張フレームワークで期待される拡張情報がリクエストに含まれていないことを示すために定義されたコードです。現代のWeb APIやブラウザ向けサービスではほとんど使われず、実務上は非推奨に近い扱いです。新しいAPIでは、何が不足しているのかに応じて400、401、403、415、422、501などの明確なステータスコードと構造化エラー本文で表現する方が分かりやすく、クライアント実装にも優しいです。

511 Network Authentication Required（ネットワーク認証が必要）は、通常のWebサイトやAPIのログインではなく、ネットワークアクセス層で認証が必要であることを示します。公共Wi-Fi、ホテル、空港、学校、企業ネットワークなどのcaptive portalで、インターネットへ通常アクセスする前にログインページや利用規約同意が必要な場合に使われます。401はWebサイトやAPIの認証、407はプロキシ認証に近いのに対し、511はネットワークそのものへの認証が必要な状態です。

520 Web Server Returned an Unknown Error（Webサーバーが不明なエラーを返しました）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareがオリジンに到達できたものの、空のレスポンス、不正なヘッダー、早期接続終了、分類しづらい異常応答を受け取った場合に表示されることがあります。通常の500としてだけ扱うのではなく、Cloudflare Ray IDとオリジンログを突き合わせて、どの層で異常が起きたか確認する必要があります。

521 Web Server Is Down（Webサーバーが停止しています）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、CloudflareがオリジンWebサーバーへTCP接続できない、接続を拒否された、またはオリジンがCloudflareからの接続をブロックしている場合に表示されることがあります。DNSそのものの問題とは限らず、オリジンの停止、ポート未待受、firewall、security group、Cloudflare IP allowlistの不備を確認する必要があります。

522 Connection Timed Out（接続タイムアウト）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareがオリジンへ接続しようとしたものの、接続確立までに時間がかかりすぎた場合に表示されます。オリジンが過負荷、packet loss、firewall drop、security group、接続数上限、ネットワーク経路の問題などにより応答できない場合に発生します。524が接続後の応答待ちタイムアウトに近いのに対し、522は主に接続段階のタイムアウトです。

523 Origin Is Unreachable（オリジンに到達できません）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareが設定されたオリジンIPやオリジンネットワークへ到達できない場合に表示されます。DNSが間違った宛先を指している、origin IPが到達不能、public routingが壊れている、cloud networkingやfirewallで遮断されている、ISPやネットワーク経路に問題がある場合などに発生します。

524 A Timeout Occurred（タイムアウトが発生しました）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareがオリジンへの接続には成功したものの、オリジンからHTTPレスポンスが時間内に返らなかった場合に表示されます。重いDBクエリ、長時間のエクスポート、遅いAPI、バックエンドのロック、同期的なレポート生成などが原因になりやすいコードです。522が接続段階のタイムアウトに近いのに対し、524は接続後の応答待ちタイムアウトです。

525 SSL Handshake Failed（SSLハンドシェイク失敗）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareとオリジン間のTLSハンドシェイクが失敗した場合に表示されます。オリジン証明書、TLSバージョン、cipher suite、SNI、ALPN、証明書チェーン、CloudflareのSSL/TLS mode、オリジンのTLS設定不備などが原因になり得ます。これはブラウザとCloudflare間の証明書問題ではなく、Cloudflareからオリジンへの接続で発生するTLS問題です。

526 Invalid SSL Certificate（無効なSSL証明書）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、CloudflareがFull Strictモードなどでオリジン証明書を検証できなかった場合に表示されます。証明書の期限切れ、自己署名、hostname不一致、SAN不足、不完全な証明書チェーン、信頼されていないCAなどが原因になり得ます。ブラウザとCloudflare間ではなく、Cloudflareとオリジン間の証明書検証が問題です。

527 Railgun Error（Railgunエラー）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare Railgun固有の非標準コードで、Railgun Listener、Railgunとオリジン間の接続、またはRailgunプロトコル上の問題が発生した場合に表示されることがあります。現在はRailgun自体が一般的な構成ではないため、このコードが見える場合は、実際にRailgunを使っているのか、古い設定が残っていないかをまず確認する必要があります。

530 Origin DNS Error（オリジンDNSエラー）は、IANAに登録された標準HTTPステータスコードではありません。Cloudflare固有の非標準コードで、Cloudflareが設定されたオリジンホスト名をDNS解決できない、またはオリジンDNS設定に問題がある場合に表示されます。レスポンス本文には、より具体的なCloudflare 1xxxエラーコードが含まれることがあり、それを確認すると原因を絞り込みやすくなります。523が解決後のネットワーク到達性に近いのに対し、530はDNS解決やCloudflare側のオリジン設定に近い問題です。

561 Unauthorized（認証失敗）は、IANAに登録された標準HTTPステータスコードではありません。AWS Elastic Load Balancingの非標準・ベンダー固有コードで、ALBの認証機能がOIDC、Cognito、または外部IdPとの認証フローを完了できない場合に表示されることがあります。通常のアプリケーションが返す401とは異なり、リクエストがターゲットへ転送される前にロードバランサー層で認証が失敗している可能性があります。ALBログとIdPログを突き合わせて原因を確認する必要があります。

598 Network Read Timeout Error（ネットワーク読み取りタイムアウト）は、IANAに登録された標準HTTPステータスコードではありません。プロキシ、ゲートウェイ、または一部のクライアントライブラリの慣例として使われる非標準コードで、上流への接続は成立したものの、レスポンスを時間内に読み取れなかった場合に使われることがあります。接続段階で失敗する599とは異なり、598は主に接続後の読み取りタイムアウトに近い意味です。標準的な公開APIでは、504 Gateway Timeoutや実装固有のエラー本文へマッピングする方が分かりやすいです。

599 Network Connect Timeout Error（ネットワーク接続タイムアウト）は、IANAに登録された標準HTTPステータスコードではありません。プロキシ、ゲートウェイ、または一部のクライアントライブラリの慣例として使われる非標準コードで、上流サービスへ接続しようとしたものの、接続確立までに時間がかかりすぎた場合に使われることがあります。598が接続後の読み取りタイムアウトに近いのに対し、599は主にDNS、routing、firewall、security group、port listener、origin healthなど接続段階の問題に近いコードです。