Der 403 Forbidden HTTP Status Code zeigt an, dass der Server die Anfrage zwar verstanden hat, sich aber weigert, sie zu autorisieren. Ein Server, der öffentlich machen möchte, warum die Anfrage verboten wurde, kann die Gründe in der Nutzlast der Antwort beschreiben, falls es eine gibt.
Wenn Authentifikations-Zugangsdaten bei der Anfrage bereitgestellt wurden, dann betrachtet der Server diese als unzureichend um Zugriff zu gewähren. Der Client soll nicht automatisch versuchen, die Anfrage mit den gleichen Zugangsdaten zu wiederholen. Der Client darf die Anfrage mit neuen oder anderen Zugangsdaten wiederholen. Allerdings kann eine Anfrage auch aus Gründen die nichts mit den Zugangsdaten zu tun haben verboten werden.
Ein Ursprungsserver der die Existenz einer verbotenen Zielressource verstecken möchte kann stattdessen mit einem 404 Not Found antworten.