HTTP (6) - HTTP 헤더

김정욱·2022년 3월 5일
0

HTTP

목록 보기
6/7
post-thumbnail

[ HTTP 헤더 개요 ]

  • 과거의 HTTP 표준 (RFC2616)
    • 헤더 분류
      • General 헤더 : 메시지 전체에 적용되는 정보
      • Requese 헤더 : 요청에 포함되는 정보 (User-Agent 등)
      • Response 헤더 : 응답에 포함되는 정보
      • Entity 헤더 : 엔티티 바디 정보 (Content-Type 등)
  • 현재 HTTP 표준 (RFC7230 ~ 7235)
    • 과거의 엔티티(Entity) -> 표현(Representation)
      : 리소스를 표현하는 방식의 관점의 REST의 R(표현)과 동일
    • 표현(Representation)
      = 표현 메타데이터(Representation Metadata) + 표현 데이터(Representation Data)
  • 메시지 본문(message body)을 통해 표현 데이터 전달
    • 메시지 본문 = 페이로드(payload)
    • 표현 (Representation) : 요청이나 응답에서 전달할 실제 데이터
    • 표현 헤더 (Representation Header)
      • 표현 데이터를 해석할 수 있는 정보(표현 메타데이터) 제공
      • 데이터 유형(html, json 등), 데이터 길이, 압축 정보 등등
      • 표현 헤더 > 표현 메타데이터 + 페이로드 메시지

[ 표현 / Representation ]

[ 설명 ]

  • 리소스를 나타내는 방법을 의미 (json, html, xml 등등)
  • 표현 헤더는 전송, 응답 둘다 사용

[ Content-Type ]

  • Content-Type : 표현 데이터의 형식
    • 미디어타입, 문자 인코딩 정보 포함
    • ex) Content-Type: text/html;charset=UTF-8
    • ex) Content-Type: application/json : 기본 인코딩 정보가 UTF-8

[ Content-Encoding ]

  • Content-Encoding : 표현 데이터의 압축 방식
    • 표현 데이터를 압축하기 위해 사용
    • 데이터를 전달하는 곳에서 압축 후 인코딩 헤더 추가
    • 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제
    • ex) Content-Encoding : gzip
    • ex) Content-Encoding : deflate
    • ex) Content-Encoding : identity : 압축하지 않는 것을 의미

[ Content-Language ]

  • Content-Language : 표현 데이터의 자연 언어
    • 표현 데이터의 자연 언어를 표현
    • 서비스 국제화에서 다양한 언어로 제공할 때 사용
    • ex) `Content-Language : ko
    • ex) Content-Language : en
    • ex) Content-Language : en-US

[ Content-Length ]

  • Content-Length : 표현 데이터의 길이
    • 바이트 단위로 표현 데이터의 길이를 의미
    • Transfer-Encoding(전송 코딩)을 사용하면 Content-Lenght 사용 금지

[ 협상 ]

[ 설명 ]

  • 클라이언트가 선호하는 표현을 요청을 의미
  • 협상 헤더는 요청시에만 사용

[ 필드 ]

  • Accept : 클라이언트가 선호하는 미디어 타입 전달
  • Accept-Charset : 클라이언트가 선호하는 문자 인코딩
  • Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
  • Accept-Language : 클라이언트가 선호하는 자연 언어
    • 한국어 브라우저에서 ko로 요청시 자연스럽게 국제화에 사용할 수 있음

[ 협상과 우선순위 ]

  • Quality Values
    • q 라는 변수를 통해 원하는 조건의 우선순위를 지정할 수 있다
    • 0~1 범위의 값을 가짐 (클 수록 높은 우선순위)
    • 생략하면 1
  • ex) Accept-Language: ko-KR,ko:q=0.9,en-US;q=0.8,en;q=0.7
    • ko-KR : 1등
    • ko:q=0.9 : 2등
    • en-US;q=0.8 : 3등
    • en;q=0.7 : 4등
  • 구체적인 것이 우선
    • ex) Accept: text/*, text/plain, text/plain;format=flowed, */*
      • text/* : 3등
      • text/plain : 2등
      • text/plain;format=flowed : 1등
      • */* : 4등

[ 전송 방식 ]

  • 종류
    • 단순 전송 : 한번에 요청한 응답 데이터를 받는 것
    • 압축 전송
      • Content-Encoding 필드를 통해 데이터를 압축해서 전송하는 것
    • 분할 전송
      • Transfer-Encoding 필드를 통해 데이터를 분할해서 클라이언트에게 전송
      • Content-Length 필드는 명시하면 안됨 -> 최초 크기가 예상 안되기 때문
      • ex) Transfer-Encoding: chunked
    • 범위 전송
      • 클라이언트는 Range 필드로 범위를 나타낸 요청을 하고
      • 서버는 Content-Range 필드로 보내는 데이터 범위와 다음 요청의 시작을 보내줌
      • ex)
        • 클라이언트 : Range: bytes=1001-2000
        • 서버 : Content-Range: bytes 1001-2000 / 2000

[ 일반 정보 ]

  • 단순 정보성 헤더

[ From ]

  • 유저 에이전트의 이메일 정보
  • 검색 엔진 같은 곳에서 주로 사용
  • HTTP 요청 헤더에서 사용

[ Referer ]

  • 현재 요청된 페이지 이전 웹 페이지의 주소
  • 유입 경로를 분석할 때 자주 사용
  • HTTP 요청 메시지에 존재
  • 웹 클라에서 a 태그를 통해 들어올 때 포함됨, 직접 uri 입력하면 referer가 없음
  • 참고 : referer오타인데 어쩔 수 없이 그냥 사용되는 것임
    (원래는 Referrer이 맞음)

[ User-Agent ]

  • 클라이언트의 애플리케이션 정보 (웹 브라우저, android, iOS, kakaotalk 등)
  • 통계나 특정 환경에서 기능 구현에서 사용
  • HTTP 요청 메시지에 존재

[ Server ]

  • 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
  • 실제로 HTTP요청을 하면 중간에 많은 Proxy Server를 거치게 된다
  • HTTP 응답 메시지에 존재
  • 실제 나의 요청을 처리한 Server의 정보를 나타냄
    • ex) Server: Apache/2.2.22 (Debian)

[ 특별한 정보 ]

[ Host : 요청한 호스트 정보(도메인) ]

  • HTTP 요청에서 사용하는 필수 정보
  • 하나의 서버가 여러 도메인을 처리할 때 사용
    (하나의 IP에 여러 도메인이 적용되어 있을 때)
  • IP로 통신하는 컴퓨터 내부에서 여러 내부 도메인에 연결해주는 것을 가능하게 해줌
  • Host 필드는 요청 필수 헤더이다

[ Location : 페이지 리다이렉션 ]

  • 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면 자동 리다이렉트 실행
  • 201 (Created) : Location 값은 요청에 의해 생성된 리소스 URI를 의미

[ Allow : 허용 가능한 HTTP 메서드 지정 ]

  • URI 경로는 맞으나 허용하지 않는 도메인인 경우 405 status code를 서버에서 줄 때 사용
  • 실제로 서버에서 구현을 많이해두지는 않음
  • ex) Allow: GET, HEAD, PUT

[ Retry-After ]

  • 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간
  • 503 status code : 서비스가 언제까지 불능인지를 알려줄 수 있음
  • 서버 점검등을 할 때에 사용 가능
  • ex) Retry-After: Fri, 31 Dec 1999 23:59:59 GMT

[ 인증 ]

  • Authorization
    • 클라이언트 인증 정보를 서버에 전달하는 헤더 필드
    • 인증 메커니즘에 따라 Value들이 달라진다 (OAuth 등등)
  • WWW-Authenticate : 리소스 접근시 필요한 인증 방법 정의
    • 401 Unauthorized 응답과 함께 사용
    • 리소스에 접근하기 위한 여러 정보들을 전달해줌

[ 쿠키 ]

  • Set-Cookie : 서버에서 클라이언트로 쿠키 전달 (응답)
  • Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버에 전달 (요청)
    • 서로 다른 Origin 인 경우에는 credential 옵션을 추가해야 HTTP요청시 자동 포함된다

  • 주 사용처
    • 사용자 로그인 세션 관리 (세션키 저장)
    • 광고 정보 트래킹 (주로 보는 광고의 데이터를 저장)

  • 쿠키 정보는 항상 서버에 전송됨
    • 네트워크 트래픽 추가 유발
    • 최소한의 정보만 사용(세션 id, 인증 토큰)
    • 서버에 전송하지 않고 웹 브라우저 내부에 저자하려면 웹 스토리지(localStorage, sessionStorage) 사용

  • 쿠키 종류
    • 세션 쿠키 : 만료 날짜를 생략하면 브라우저가 종료되면 종료
    • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

  • 쿠키의 생명주기
    • expires : 만료일 지정 (GMT 기준)
      • ex) Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
    • max-age : 만료 시간 지정(초 단위)
      • ex) Set-Cookie: max-age=3600

  • 쿠키 도메인
    • Domain 명시
      • 명시한 문서 기준 도메인 + 서브 도메인 포함
      • ex) domain=kakao.com -> view.kakao.com 도 포함됨
    • Domain 생략
      • 현재 문서 기준 도메인만 적용
      • 즉, 서브 도메인은 포함되지 X

  • 쿠키 경로
    • path : 경로를 포함한 하위 경로 페이지만 쿠키 접근
    • 일반적으로 path=/ 처럼 루트로 지정
    • ex) path=/home -> /homre/level1, /home/level1/level2 가능

[ 쿠키 보안 ]

  • Secure
    • https 인 경우에만 쿠키를 전송
  • HttpOnly
    • 자바스크립트로 접근(document.cookie)하지 못하게 막음 -> XSS 공격 방지
    • HTTP / HTTPS 전송에만 사용
  • SameSite
    • XSRF 공격 방지
    • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
    • 해당 필드는 적용된지 오래되지 않았음
profile
Developer & PhotoGrapher

0개의 댓글