포스트

07.HTTP 헤더1 - 일반 헤더

게시 업데이트
By Kim Jung Wook 12 분읽는 시간

개요

  • HTTP 전송에 필요한 모든 부가정보가 포함되어 있다
  • 표준헤더는 많고, 필요시 임의의 헤더를 추가하기도 한다
  1. 분류
    • 메시지 본문을 통해 표현 데이터 전달
    • 메시지 본문 = 페이로드(payload)
    • 표현은 요청이나 응답에서 전달할 실제 데이터
    • 표현 헤더는 표현 데이터를 해석할 수 있는 정보를 제공한다
      • 데이터 유형(html, json), 데이터 길이, 압축 정보 등등

표현

  • Content-Type : 표현 데이터의 형식
  • Content-Encoding : 표현 데이터의 압축 방식
  • Content-Language : 표현 데이터의 자연 언어(한국어, 영어..)
  • Content-Length : 표현 데이터의 길이
  • 표현 헤더는 전송, 응답 둘다 사용한다
  1. Content-Type
    • 표현 데이터의 형식
    • 미디어 타입, 문자 인코딩
  2. Content-Encoding
    • 표현 데이터의 압축 방식
    • 표현 데이터를 압축하기 위해 사용한다
    • 데이터를 전달하는 곳에서 압축 후 인코딩 헤더에 추가한다
    • 데이터를 읽는 쪽에서 인코딩 헤더에 있는 압축정보를 통해 압축을 해제한다
  3. Content-Language
    • 표현 데이터의 자연 언어(한국어, 영어..)
  4. Content-Length
    • 표현 데이터의 길이
    • 바이트 단위
    • Transfer-Encoding(전송 코딩)을 사용하면 Content-Langth를 사용하면 안된다

협상

  • 클라이언트가 원하는 표현을 요청
  • Accept : 클라이언트가 선호하는 미디어 타입 전달
  • Accept-Charset : 클라이언트가 선호나는 문자 인코딩
  • Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
  • Accept-Language : 클라이언트가 선호하는 자연 언어
  • 협상 헤더는 요청시에만 사용한다
  1. 협상과 우선순위1
    • Accept-Language의 경우 외국 사이트에 접속을 하게되면 기본언어가 영어로 설정되어 있을 것이다
    • 외국사이트가 다중 언어를 지원하고 한국어도 지원한다고 가정한다면
    • 클라이언트가 Accept-Language로 ko를 요청시 한국어로 응답을 해준다
    • 반면에 사이트가 독일어로 응답을 해주는데, 한국어 지원이 안된다고하면
    • 협상의 우선순위를 통해 다른 언어로라도 지원을 받는 것이다
    • Quality Values(q) 값 사용
    • 0~1, 클수록 높은 우선순위
    • 생략하면 1
    • Accept-Language:ko-KR,ko;q-0.9,en-US;q=0.8,en;q=0.7
  2. 협상과 우선순위2
    • 구체적인 것이 우선한다
    • Accept: text/* , text/plain, text/plain;format=flowed,/
    • 우선순위는
    • text/plain;format=flowed > text/plain > text/* > /
  3. 협상과 우선순위3
    • 구체적인 것을 기준으로 미디어 타입을 맞춘다
    • Accept: text/;q=0.3, text/html;q=0.7, text/html;level=1,text/html;level=2;q=0.4, */;q=0.5

전송 방식

  • 단순 전송
  • 압축 전송
  • 분할 전송
  • 범위 전송
  1. 단순 전송
    • 응답 시 컨텐츠의 길이를 알고, 그 길이를 그대로 한 번에 전송
  2. 압축 전송
    • 컨텐츠의 길이를 압축하고, Content-Encoding 정보를 보낸다
  3. 분할 전송
    • Transfer-Encoding
    • 컨텐츠 내용이 클 때, 크기를 쪼개서 서버에서 완성된 것을 보내고, 다음 것을 또 완성시켜 보내는 것
    • Content-Length를 보내면 안된다
    • 길이가 예상이 안되고, 분할된 청크들마다 길이에 대한 정보를 보내기 때문에 필요가 없다
  4. 범위 전송
    • 내가 이전에 받은 부분 정보가 있다면, 그 후에 범위를 지정하여 요청하는 것

일반 정보

  1. From
    • 유저 에이전트의 이메일 정보
    • 일반적으로 잘 사용하지 않는다
    • 검색 엔진 같은 부분에 주로 사용
    • 요청에서 사용
  2. Referer
    • 이전 웹 페이지 주소
    • A에서 B로 이동하는 경우 B를 요청할 때, Referer:A를 포함해서 요청한다
    • Referer를 통해 유입경로를 분석할 수 있다
    • 요청에서 사용
    • referrer
  3. User-agent
    • 유저 에이전트 애플리케이션 정보
    • 클라이언트의 애플리케이션 정보(웹 브라우저 정보, 등등)
    • 통계 정보
    • 어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능
    • 요청에서 사용
  4. Server
    • 요청을 처리하는 origin 서버의 소프트웨어 정보
    • 중간에 거친 캐시 서버 같은 것들 말고, 나의 요청에 대해 응답을 해주는 마지막 서버
    • 응답에서 사용
  5. Date
    • 응답에서 사용

특별한 정보

  1. Host
    • 요청한 호스트 정보(도메인)
    • 요청에서 사용
    • 필수
    • 하나의 서버가 여러 도메인을 처리할 때
    • 하나의 IP 주소에 여러 도메인이 적용되어 있을 때
    • 예) IP로만 통신할 때 도착지 IP에 도메인이 여러개가 있을 때 요청이 어디 도메인으로 가야할지 모르게 된다
    • 그래서 HOST 정보를 담게되면 같은 IP상의 어떤 도메인으로 가게될지 알게 된다
  2. Location
    • 페이지 리다이렉션
    • 웹 브라우저는 300대 응답읙 결과에 Location 헤더가 있으면, Location 위치로 자도 이동한다(리타이렉트)
    • 201(Created) : Location ㄱ밧은 요청에 의해 생성된 리소스 URI
    • 3xx(Redirection) : Location 값은 요청을 자동으로 리다이렉션하기 위한 대상 리소스를 가리킨다
  3. Allow
    • 허용 가능한 HTTP 메서드
    • 405에서 응답에 포함해야한다
    • Allow : GET, HEAD, PUT만을 허용하고 있는데 클라이언트가 POST 요청을 하거나 할 때
    • 참고만 하자
  4. Retry-After
    • 503 : 서비스가 언제까지 불능인지 알려줄 수 있다
    • 뒤에 날짜, 초 단위로 표현할 수 있다

인증

  • Authorization : 클라이언트 인증 정보를 서버에 전달
  • WWW-Authenticate : 리소스 접근시 필요한 인증 방법 정의, 로그인.
  1. Authorization
    • 클라이언트 인증 정보를 서버에 전달
  2. WWW-Authenticate
    • 리소스 접근시 필요한 인증 방법 정의
    • 401 Unauthorized 응답과 함께 사용한다

쿠키

  • Set-Cookies : 서버에서 클라이언트로 쿠키 전달(응답)
  • Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
  1. Stateless
    • HTTP는 무상태 프로토콜이다.
    • 클라이언트와 서버는 요청과 응답을 주고 받으면 연결을 끊는다
    • 클라이언트가 재요청 시 서버는 이전 요청을 기억하지 못한다
    • 클라이언트와 서버는 서로 상태를 유지하지 않는다
  2. 무상태의 대안
    • 모든 요청에 사용자 정보를 포함해서 보낸다
    • 하지만 문제가 있다. 모든 요청에 사용자 정보를 포함해야해서 보안상, 구현상 어려움이 있다
  3. 쿠키가 생김
    • 서버에서 Set-Cookies를 통해 필요한 정보를 보낸다
    • 웹 브라우저 내부에는 쿠키저장소에 Set-Cookies로 날라온 정보를 담아 놓는다
    • 클라이언트가 서버에 요청시 웹브라우저는 요청을 보낼 때 마다 쿠키저장소의 쿠키를 뒤져서 서버로 보낸다
  4. 쿠키
    • 사용처
      • 사용자의 로그인 세션 관리
      • 광고 정보 트래킹
    • 쿠키 정보는 항상 서버에 전송됨
      • 네트워크 트래픽 추가 유발
      • 최소한의 정보만 사용(세션 id, 인증 토큰)
      • 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지를 참고
    • 주의
      • 보안에 민감한 데이터는 저장하면 안된다(개인정보, 신용카드 번호 등등)
  5. 쿠키의 생명주기
    • 만료일(날짜)를 지정할 수 있다. 기준은 GMT
    • 유지시간을 시간(초)으로 지정할 수 있다. 0이나 음수를 지정하면 쿠키 삭제
    • 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
    • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지
  6. 쿠키의 도메인
    • 명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함
    • 생략 : 현재 문서 기준 도메인에만 적용
  7. 쿠키 경로
    • 이 경로를 포함 하위 경로 페이지만 쿠키 접근
    • 일반적으로 path=/ 루트로 지정
    • 예) path=/home
  8. 쿠기 보안
    • Secure
      • 원래는 http, https를 구분하지 않고 전송하는데
      • Secure를 적용하면 https인 경우에만 전송한다
    • HttpOnly
      • XSS 공격 방지
      • 자바스크립트에서 접근 불가
      • HTTP 전송에만 사용
    • SameSite
      • XSRF 공격 방지
      • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키 전송
출처
  • 인프런의 김영한님의 강의를 듣고 정리한 것입니다.
KYH, network
네트워크