티스토리 뷰

CS

HTTP 7. HTTP 일반 헤더

kingsubin 2021. 1. 7. 19:56

1. 표현

  • 표현 헤더는 전송, 응답 둘 다 사용

 

 

Content-Type

표현 데이터의 형식 설명 

  • Ex)
  • text/html; charset=utf-8
  • application/json
  • image/png

 

Content-Encoding

표현 데이터 인코딩

  • 표현 데이터를 압축하기 위해 사용
  • 데이터를 전달하는 곳에서 압축 후 인코딩 헤더 추가
  • 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제

 

  • Ex)
  • gzip
  • deflate
  • identity

 

Content-Language

표현 데이터의 자연 언어

  • Ex)
  • ko
  • en
  • en-US

 

Content-Length

표현 데이터의 길이 (바이트 단위)

 


2. 콘텐츠 협상

클라이언트가 선호하는 표현 요청

 

  • Accept: 클라이언트가 선호하는 미디어 타입 전달
  • Accept-Charset: 클라이언트가 선호하는 문자 인코딩
  • Accept-Encoding: 클라이언트가 선호하는 압축 인코딩
  • Accept-Language: 클라이언트가 선호하는 자연 언어
  • 협상 헤더는 요청시에만 사용

 

협상과 우선순위 1

  • Quality Values(q) 값 사용
  • 0~1, 클수록 높은 우선순위
  • 생략 시 1
  • ex) Accept-Language: ko-KR;ko;q=0.9,en-US;q=0.8;en;q=0.7
    • 1. ko-KR;q=1 
    • 2. ko;q=0.9
    • 3. en-US;q=0.8
    • 4. en;q=0.7

 

  • 구체적인 것이 우선
  • ex) Accept: text/*, text/plain, text/plain;format=flowed, */*
    • 1. text/plain;format=flowed
    • 2. text/plain
    • 3. text/*
    • 4. */*

 


3. 전송 방식

  • 단순 전송
    • Content-Length : xxx

 

  • 압축 전송
    • Content-Encoding: xxx

 

  • 분할 전송
    • Transfer-Encoding: xxx
    • Content-Length 가 없음

 

  • 범위 전송
    • Content-Range: xxx

 


4. 일반 정보

 

From

유저 에이전트의 이메일 정보

  • 일반적으로 잘 안 씀
  • 검색 엔진 같은 곳에서, 주로 사용
  • 요청에서 사용

 

Referer

이전 웹 페이지 주소

  • 현재 요청된 페이지의 이전 웹 페이지 주소
  • Referer 를 사용해서 유입 경로 분석 가능
  • 요청에서 사용

 

User-Agent

유저 에이전트 애플리케이션 정보

  • 클라이언트의 애플리케이션 정보 (웹 브라우저 정보 등)
  • 통계 정보
  • 어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능
  • 요청에서 사용

 

Server

요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

  • Ex)
  • Server: Apache/2.2.22 
  • server: nginx 
  • 응답에서 사용

 

Date

메시지가 발생한 날짜와 시간

  • 응답에서 사용

 


5. 특별한 정보

 

Host

요청한 호스트 정보 (도메인)

  • 요청에서 사용
  • 필수
  • 하나의 서버가 여러 도메인을 처리해야 할 때
  • 하나의 IP 주소에 여러 도메인이 적용되어 있을 때

 

Location

페이지 리다이렉션

  • 3xx 응답의 결과에 Location 헤더가 있으면 리다이렉트
  • 201 응답의 Location 에 생성된 리소스 URI

 

Allow

허용 가능한 HTTP 메서드

  • 405 (Method Not Allowed) 에서 응답에 포함해야 함
  • ex) GET, HEAD, PUT 만 가능한데 POST 로 요청했을 때

 

Retry-After

유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

  • 503 (Service Unavailable) 에러로 서비스가 언제까지 불능인지 알려줄 수 있음
  • ex)
  • Retry-After: Fri, 31 Dec 1999 23:22:22 GMT (날짜 표기)
  • Retry-After: 120 (초단위 표기)

 


6. 인증

Authorization

클라이언트 인증 정보를 서버에 전달

 

WWW-Authenticate

리소스 접근 시 필요한 인증 방법 정의

  • 401 Unauthorized 응답과 함께 사용
  • ex)
  • WWW-Authenticate: Newauth realm="apps", type=1, title="Login to \"apps\"", Basic realm="simple"

 

 


7. 쿠키

로그인했을 경우 클라이언트가 로그인이 성공했는지 어떻게 알 수 있지 ?

HTTP 는 Stateless 프로토콜이기 때문에 기억하지 못한다.

 

모든 요청 URL 에 ?user=홍길동 이런 식으로 넘기면 ?

- 모든 요청에 사용자 정보가 포함되도록 개발해야 하고 브라우저 완전 종료 시 기억하지 못함.

 

이렇게 해서 사용하게 된 게 쿠키 개념

로그인에 성공 시 서버가 Set-Cookie 헤더를 통해 클라이언트 측에 쿠키를 넘겨주고 클라이언트는 쿠키를 쿠키 저장소에 저장함.

 

로그인 이후 접근 시 Cookie 헤더를 통해 매번 쿠키를 포함해서 전달함

 

 

Set-Cookie

서버에서 클라이언트로 쿠키 전달 (응답)

  • Ex)
  • set-cookie: sessionid=abcd123; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
  • 사용처
    • 사용자 로그인 세션 관리
    • 광고 정보 트래킹

 

  • 쿠키 정보는 항상 서버에 전송됨
    • 네트워크 트래픽 추가 유발 (매번 같이 넘기게 되니까)
    • 최소한의 정보만 사용 (세션 id,  인증 토큰)
    • 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고

 

  • 주의 !
    • 보안에 민감한 데이터는 저장하면 안 됨 (주민번호, 신용카드 번호 등)

 

- 생명주기

Expires, max-age

  • Set-Cookie: expires=
    • 만료일이 되면 쿠키 삭제

 

  • Set-Cookie: max-age=
    • 0 이나 음수를 지정하면 쿠키 삭제

 

  • 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료 시까지만 유지
  • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

 

- 도메인

Domain

  • ex)
  • domain=example.org
  • 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
    • example.org 는 물론이고 dev.example.org 도 쿠키 접근

 

  • 생략: 현재 문서 기준 도메인만 적용
    • example.org 에서만 쿠키 접근

 

- 경로

Path

  • ex)
  • path=/home
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
  • 일반적으로 path=/ 루트로 지정
  • 위 예시에서의 경우 
  • /home, /home/level1 접근 가능, /hello 접근 불가능

 

- 보안

Secure, HttpOnly, SameSite

  • Secure
    • 쿠키는 http, https 를 구분하지 않고 전송하는데 Secure 적용 시 https 인 경우에만 전송

 

  • HttpOnly
    • XSS 공격 방지
    • 자바스크립트에서 접근 불가 (DOM 을 통한 document.cookie)
    • HTTP 전송에만 사용

 

  • SameSite
    • XSRF 공격 방지
    • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키 전송

 

 

Cookie

클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달

 

 

 

 


※ 출처

www.inflearn.com/course/http-%EC%9B%B9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC/dashboard

'CS' 카테고리의 다른 글

리눅스 중요 명령어  (0) 2021.01.16
HTTP 8. 캐시와 조건부 요청  (0) 2021.01.08
HTTP 6. HTTP 상태코드  (0) 2021.01.07
HTTP 5. HTTP 메서드 활용  (0) 2021.01.06
HTTP 4. HTTP 메서드  (0) 2021.01.05