[ HTTP 헤더 개요 ]
- 과거의 HTTP 표준 (
RFC2616
)
- 헤더 분류
- General 헤더 : 메시지 전체에 적용되는 정보
- Requese 헤더 : 요청에 포함되는 정보 (User-Agent 등)
- Response 헤더 : 응답에 포함되는 정보
- Entity 헤더 : 엔티티 바디 정보 (Content-Type 등)
- 현재 HTTP 표준 (
RFC7230 ~ 7235
)
- 과거의 엔티티(
Entity
) -> 표현(Representation
)
: 리소스를 표현하는 방식의 관점의 REST의 R(표현
)과 동일
- 표현(
Representation
)
= 표현 메타데이터(Representation Metadata
) + 표현 데이터(Representation Data
)
- 메시지 본문(
message body
)을 통해 표현 데이터 전달
- 메시지 본문 = 페이로드(
payload
)
- 표현 (
Representation
) : 요청이나 응답에서 전달할 실제 데이터
- 표현 헤더 (
Representation Header
)
- 표현 데이터를 해석할 수 있는 정보(표현 메타데이터) 제공
- 데이터 유형(html, json 등), 데이터 길이, 압축 정보 등등
- 표현 헤더 > 표현 메타데이터 + 페이로드 메시지
[ 표현 / Representation ]
[ 설명 ]
- 리소스를 나타내는 방법을 의미 (json, html, xml 등등)
- 표현 헤더는 전송, 응답 둘다 사용
[ Content-Type ]
Content-Type
: 표현 데이터의 형식
- 미디어타입, 문자 인코딩 정보 포함
- ex)
Content-Type: text/html;charset=UTF-8
- ex)
Content-Type: application/json
: 기본 인코딩 정보가 UTF-8
[ Content-Encoding ]
Content-Encoding
: 표현 데이터의 압축 방식
- 표현 데이터를 압축하기 위해 사용
- 데이터를 전달하는 곳에서 압축 후 인코딩 헤더 추가
- 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제
- ex)
Content-Encoding : gzip
- ex)
Content-Encoding : deflate
- ex)
Content-Encoding : identity
: 압축하지 않는 것을 의미
[ Content-Language ]
Content-Language
: 표현 데이터의 자연 언어
- 표현 데이터의 자연 언어를 표현
- 서비스 국제화에서 다양한 언어로 제공할 때 사용
- ex) `Content-Language : ko
- ex)
Content-Language : en
- ex)
Content-Language : en-US
[ Content-Length ]
Content-Length
: 표현 데이터의 길이
- 바이트 단위로 표현 데이터의 길이를 의미
- Transfer-Encoding(전송 코딩)을 사용하면 Content-Lenght 사용 금지
[ 협상 ]
[ 설명 ]
- 클라이언트가 선호하는 표현을 요청을 의미
- 협상 헤더는 요청시에만 사용
[ 필드 ]
Accept
: 클라이언트가 선호하는 미디어 타입 전달
Accept-Charset
: 클라이언트가 선호하는 문자 인코딩
Accept-Encoding
: 클라이언트가 선호하는 압축 인코딩
Accept-Language
: 클라이언트가 선호하는 자연 언어
- 한국어 브라우저에서 ko로 요청시 자연스럽게 국제화에 사용할 수 있음
[ 협상과 우선순위 ]
- Quality Values
q
라는 변수를 통해 원하는 조건의 우선순위를 지정할 수 있다
0~1
범위의 값을 가짐 (클 수록 높은 우선순위)
- 생략하면
1
- ex)
Accept-Language: ko-KR,ko:q=0.9,en-US;q=0.8,en;q=0.7
ko-KR
: 1등
ko:q=0.9
: 2등
en-US;q=0.8
: 3등
en;q=0.7
: 4등
- 구체적인 것이 우선
- ex)
Accept: text/*, text/plain, text/plain;format=flowed, */*
text/*
: 3등
text/plain
: 2등
text/plain;format=flowed
: 1등
*/*
: 4등
[ 전송 방식 ]
- 종류
- 단순 전송 : 한번에 요청한 응답 데이터를 받는 것
- 압축 전송
Content-Encoding
필드를 통해 데이터를 압축해서 전송하는 것
- 분할 전송
Transfer-Encoding
필드를 통해 데이터를 분할해서 클라이언트에게 전송
- Content-Length 필드는 명시하면 안됨 -> 최초 크기가 예상 안되기 때문
- ex)
Transfer-Encoding: chunked
- 범위 전송
- 클라이언트는 Range 필드로 범위를 나타낸 요청을 하고
- 서버는 Content-Range 필드로 보내는 데이터 범위와 다음 요청의 시작을 보내줌
- ex)
- 클라이언트 :
Range: bytes=1001-2000
- 서버 :
Content-Range: bytes 1001-2000 / 2000
[ 일반 정보 ]
[ From ]
- 유저 에이전트의 이메일 정보
- 검색 엔진 같은 곳에서 주로 사용
- HTTP 요청 헤더에서 사용
[ Referer ]
- 현재 요청된 페이지 이전 웹 페이지의 주소
- 유입 경로를 분석할 때 자주 사용
- HTTP 요청 메시지에 존재
- 웹 클라에서
a 태그
를 통해 들어올 때 포함됨, 직접 uri 입력
하면 referer가 없음
- 참고 :
referer
은 오타
인데 어쩔 수 없이 그냥 사용되는 것임
(원래는 Referrer
이 맞음)
[ User-Agent ]
- 클라이언트의 애플리케이션 정보 (웹 브라우저, android, iOS, kakaotalk 등)
- 통계나 특정 환경에서 기능 구현에서 사용
- HTTP 요청 메시지에 존재
[ Server ]
- 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
- 실제로 HTTP요청을 하면 중간에 많은 Proxy Server를 거치게 된다
- HTTP 응답 메시지에 존재
- 실제 나의 요청을 처리한 Server의 정보를 나타냄
- ex)
Server: Apache/2.2.22 (Debian)
[ 특별한 정보 ]
[ Host : 요청한 호스트 정보(도메인) ]
- HTTP 요청에서 사용하는 필수 정보
- 하나의 서버가 여러 도메인을 처리할 때 사용
(하나의 IP에 여러 도메인이 적용되어 있을 때)
- IP로 통신하는 컴퓨터 내부에서 여러 내부 도메인에 연결해주는 것을 가능하게 해줌
- Host 필드는 요청 필수 헤더이다
[ Location : 페이지 리다이렉션 ]
- 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면 자동 리다이렉트 실행
- 201 (
Created
) : Location 값은 요청에 의해 생성된 리소스 URI를 의미
[ Allow : 허용 가능한 HTTP 메서드 지정 ]
- URI 경로는 맞으나 허용하지 않는 도메인인 경우 405 status code를 서버에서 줄 때 사용
- 실제로 서버에서 구현을 많이해두지는 않음
- ex)
Allow: GET, HEAD, PUT
[ Retry-After ]
- 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간
- 503 status code : 서비스가 언제까지 불능인지를 알려줄 수 있음
- 서버 점검등을 할 때에 사용 가능
- ex)
Retry-After: Fri, 31 Dec 1999 23:59:59 GMT
[ 인증 ]
Authorization
- 클라이언트 인증 정보를 서버에 전달하는 헤더 필드
- 인증 메커니즘에 따라 Value들이 달라진다 (OAuth 등등)
WWW-Authenticate
: 리소스 접근시 필요한 인증 방법 정의
- 401 Unauthorized 응답과 함께 사용
- 리소스에 접근하기 위한 여러 정보들을 전달해줌
[ 쿠키 ]
Set-Cookie
: 서버에서 클라이언트로 쿠키 전달 (응답
)
Cookie
: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버에 전달 (요청
)
- 서로 다른 Origin 인 경우에는 credential 옵션을 추가해야 HTTP요청시 자동 포함된다
- 주 사용처
- 사용자 로그인 세션 관리 (세션키 저장)
- 광고 정보 트래킹 (주로 보는 광고의 데이터를 저장)
- 쿠키 정보는 항상 서버에 전송됨
- 네트워크 트래픽 추가 유발
- 최소한의 정보만 사용(세션 id, 인증 토큰)
- 서버에 전송하지 않고 웹 브라우저 내부에 저자하려면 웹 스토리지(localStorage, sessionStorage) 사용
- 쿠키 종류
- 세션 쿠키 : 만료 날짜를 생략하면 브라우저가 종료되면 종료
- 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지
- 쿠키의 생명주기
- expires : 만료일 지정 (GMT 기준)
- ex)
Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT
- max-age : 만료 시간 지정(초 단위)
- ex)
Set-Cookie: max-age=3600
- 쿠키 도메인
- Domain 명시
- 명시한 문서 기준 도메인 + 서브 도메인 포함
- ex)
domain=kakao.com
-> view.kakao.com
도 포함됨
- Domain 생략
- 현재 문서 기준 도메인만 적용
- 즉, 서브 도메인은 포함되지 X
- 쿠키 경로
- path : 경로를 포함한 하위 경로 페이지만 쿠키 접근
- 일반적으로
path=/
처럼 루트로 지정
- ex)
path=/home
-> /homre/level1
, /home/level1/level2
가능
[ 쿠키 보안 ]
Secure
HttpOnly
- 자바스크립트로 접근(
document.cookie
)하지 못하게 막음 -> XSS 공격 방지
- HTTP / HTTPS 전송에만 사용
SameSite
- XSRF 공격 방지
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
- 해당 필드는 적용된지 오래되지 않았음