HTTP 헤더
header-field = field-name ":" OWS field-value OWS (OWS : 띄어쓰기 허용)
field-name은 대소문자 구분이 없다.
HTTP에서 일반적으로 자주 사용되는 헤더는 다음과 같다
HTTP 헤더의 용도
- HTTP 전송에 필요한 모든 부가 정보를 담는다.
ex) 메시지 바디의 내용, 메시지 바디의 크기, 압축, 인증, 요청 클라이언트, 서버 정보, 캐시 관리 정보 등등
- HTTP표준 헤더는 종류가 너무 많다.
- 필요시 임의의 헤더를 추가 가능하다.
HTTP 헤더 분류 - RFC2616(과거)
과거 헤더는 네종류로 분류하였다.
- General 헤더 : 메시지 전체에 적용되는 정보, ex) Connection: close
- Request 헤더 : 요청 정보, ex)User-Agent: Mozilla/5.0 (Macintosh; ..)
- Response 헤더 : 응답 정보, ex) Server: Apache
- Entity 헤더 : 엔티티 바디 정보, ex)Content-Type: text/html, Content-Length: 3423
HTTP BODY
message body
- 메시지 본문(message body)은 엔티티 본문(entity body)을 전달하는데 사용한다.
- 엔티티 본문은 요청이나 응답에서 전달할 실제 데이터이다.
- 엔티티 헤더는 엔티티 본문의 데이터를 해석할 수 있는 정보를 제공한다.
- 데이터 유형(html, json), 데이터 길이, 압축 정보 등등
RFC2616 표준 스펙은 1999년에 제정된 오래된 스펙이다. 따라서 스펙이 바뀌고 폐기가 되었다.
현재는 RFC7230 ~ 7235 스펙이 사용된다.
RFC723X 변화
- 엔티티(Entity) -> 표현(Representation)
- Representation = representation Metadata + Representation Data
- 표현 = 표현 메타데이터 + 표현 데이터
- 메시지 본문(message body)를 통해 표현 데이터를 전달한다.
- 메시지 본문을 페이로드(payload)라도고 한다.
- 표현은 요청이나 응답에서 전달할 실제 데이터이다.
- 표현 헤더는 표현 데이터를 해석할 수 있는 정보를 제공한다.
- 데이터 유형(html, json), 데이터 길이, 압축 정보 등등
- 참고 : 표현 헤더는 표현 메타데이터와, 페이로드 메시지를 구분해야하지만, 복잡하기에 생략한다.
표현 헤더
- Content-Type : 표현 데이터의 형식
- Content-Encoding : 표현 데이터의 압축 방식
- Content-Language : 표현 데이터의 자연 언어
- Content-Length : 표현 데이터의 길이
- 표현 헤더는 전송, 응답 둘 다 사용한다.
Content-Type
표현 데이터의 형식이다.
- 미디어 타입, 문자 인코딩 등
ex) text/html; charset=utf-8
application/json
image/png
Content-Encoding
표현 데이터 인코딩
- 표현데이터를 압축하기 위해 사용
- 데이터를 전달하는 곳에서 압축 후 인코딩 헤더를 추가한다.
- 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제한다.
ex) gzip
deflate
identity
Content-Language
표현 데이터의 자연 언어
- 표현 데이터의 자연 언어를 표현
ex) ko
en
en-US
Content-Length
표현 데이터의 길이
- 바이트 단위
- Transfet-Encoding(전송 코딩)을 사용하면 Content-Length를 사용하면 안됨
협상(콘텐츠 네고시에이션)
클라이언트가 선호하는 표현 요청
- Accept : 클라이언트가 선호하는 미디어 타입 전달
- Accept-Charset : 클라이언트가 선호하는 문자 인코딩
- Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
- Accept-Language : 클라이언트가 선호하는 자연 언어
- 협상 헤더는 요청 시에만 사용한다.
ex) Accept-Language 적용 전
현재의 서버는 다중 언어를 지원하나 기본 언어는 영어로 되어있다.
만약 한국어 브라우저에서 이벤트를 요청 시 서버에서는 기본 언어인 영어로 응답을 내려준다.
이 문제를 Accept-Language를 적용시켜 해결할 수 있다.
Accept-Language를 한국어로 적용시켜 요청을 하면 이 서버는 기본적으로 한국어도 지원하기 때문에 한국어로 응답을 내려준다.
만약 다음과 같이 Accept-Language를 한국어로 요청하였는데, 서버에서 한국어를 지원해주지 않으면 어떻게 될까?
서버에선 한국어를 지원하지 않기 때문에 기본 언어인 독일어로 응답을 내린다.
영어가 좀 더 수월한 한국인 입장에서는독일어 대신 차라리 영어가 나은데, 알 수 없는 독일어 세계에 빠지게 된다.
이런 문제를 해결해주는게 협상과 우선순위이다.
협상과 우선순위1
Quality Values(q)
- Quality Values(q)값을 사용
- 0~1, 클수록 높은 우선순위를 갖는다
- 생략하면 1이다.
- Accept-Language: ko-KR,ko;q=0.9,enUS;q=0.8,en;q=0.7
- 1. ko-KR;q=1(q생략)
- 2. ko;q=0.9
- 3. en-US;q=0.8
- 4. en:q=0.7
이렇게 우선순위를 정하게 되면 독일어 대신 우선 순위가 높은 영어로 응답을 내려주게 된다.
구글에 아무 검색이나 진행한 후 개발자모드로 확인을 해보자.
헤더를 보면 Accept-Language를 확인할 수 있다.
협상과 우선순위2
Quality Values(q)
- 구체적인 것이 우선한다.
- Accept : text/*, text/plain, text/plain;format=flowed, */*
1. text/plain;format=flowed
2. text/plain
3. text/*
4. */*
협상과 우선순위3
Quality Values
- 구체적인 것을 기준으로 미디어 타입을 맞춘다.
- Accept : text/*;q=0.3, text/html;q=0.7, text/html;level=1, text/html;level=2;q=0.4, */*;q=0.5
전송방식
전송방식은 총 4가지로 분류할 수 있다.
- 단순 전송
단순 전송은 메세지 바디에 대한 컨텐트 길이를 지정한다.(컨텐트의 길이를 알 수 있을때)
단순하게 요청하고 한번에 받는 것이다.
- 압축 전송
압축 전속은 메세지 바디를 압축하고, 컨텐트 엔코딩(전송방식)을 적는 방식이다.
압축 시에 절반 이상이 줄어들어 효율적이다.
- 분할 전송
분할 전송은 chunked 즉 덩어리로 쪼개서 보내는 방식이다.
5바이트를 보낼것이고 Hello를 보낸다
이후 5바이트를 보낼 것이도 World를 보낸다.
전송이 끝나고 마지막엔 0에 \r\n로 종료를 알려준다.
분할 전송의 장점은 전송 오는것을 바로바로 표현이 가능하다.
* 참고로 분할 전송때는 content-Length를 보낼 수 없다. --> 쪼개서 먼저 보내기때문에 길이를 알 수 없다.
- 범위 전송
메세지를 받는 도중 만약 끊기면 처음부터 다시 요청해야 한다. -> 이건 매우 비효율적인 방식이다.
범위전송은 이런 문제를 해결하기 위해 범위를 지정할 수 있다. 범위를 지정해서 실패한 범위만 다시 전송되면 되기 때문이다.
일반정보
일반 정보는 단순한 정보성 헤더들이다.
- From : 유저 에이전트의 이메일 정보이다.
- 일반적으로 잘 사용되지 않는다.
- 검색 엔진 같은 곳에서 주로 사용된다.
- 요청에서 사용된다.
- Referer : 이전 웹 페이지 주소이다.
- 현재 요청된 페이지의 이전 웹 페이지 주소
- A -> B로 이동하는 경우 B를 요청할 때 Refere:A를 포함해서 요청한다.
- Referer 를 사용해서 유입 경로를 분석할 수 있다.
- 요청에서 사용된다.
- 참고 : referer는 단어 referrer의 오타이다.
- User-Agent : 유저 에이전트 애플리케이션 정보이다.
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0
Safari/537.36
- 클라이언트의 애플리케이션 정보(웹 브라우저 정보, 등등)
- 통계 정보를 뽑을 수 있다.(어느 브라우저를 많이 사용 하는지 등)
- 어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능하다.
- 요청에서 사용된다.
- Server : 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
- Server : Apache/2.2.22(Debian)
- server: nginx
- 응답에서 사용한다.
- Date : 메시지가 발생한 날짜와 시간
- 응답에서만 사용
특별한 정보
-Host : 요청한 호스트 정보(도메인)
- 요청에서 사용된다.
- 필수값이다
- 하나의 서버가 여러 도메인을 처리해야 할 때
- 하나의 IP주소에 여러 도메인이 적용되어 있을 때
아래와 같이 서버 한대가 있다고 가정하자. 이 서버는 가상 호스트를 통해 여러 도메인을 한번에 처리할 수 있는 서버이다.
Host가 없다고 가정하고 클라이언트에서 /hello라는 요청을 보낸다고 하자, 그럼 이 /hello의 요청이 aaa.com에 요청을 하는 것인지, bbb.com에 요청을 하는 것인지 둘 다 아닌 ccc.com에 요청을 하는 것인지 서버에서는 구별을 할 수 없다.
이러한 문제를 해결하기 위해서 Host라는 헤더를 넣어서 전달하여 준다. 기본적으로 TCP/IP 통신은 IP로만 통신을 한다. 그런데 Host 헤더를 통해 aaa.com으로 들어가는 것을 판별할 수 있게 된다.
*** 위와 같은 문제 때문에 호스트 정보는 필수적이다.***
- Location : 페이지 리다이렉션
- 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동한다(리다이렉트)
- 응답코드 3xxx에서 설명
- 201(Created) : Location 값은 요청에 의해 성성된 리소스 URI
- 3xx(Redirection) : Location 값은 요청을 자동으로 리다이렉션하기 위한 대상 리소스를 가리킨다.
- Allow : 허용 가능한 HTTP 메서드를 적는다.
- 405 (Method Not Allowed) 에서 응답에 포함해야 함
- Allow : GET, HEAD, PUT
- Retry-After : 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간
- 503(Service Unavailable) : 서비스가 언제까지 불능인지 알려줄 수 있음
- Retry-After : Fri, 31 Dec 1999 23:59:59 GMT(날짜 표기)
- Retry-After : 12(초단위 표기)
인증
- Authorization : 클라이언트 인증 정보를 서버에 전달한다.
- Authorization : Basic xxxxxxxxxxxxxxxxxxx
- WWW-Authenticate : 리소스 접근 시 필요한 인증 방법을 정의한다.
- 리소스 접근 시 필요한 인증 방법을 정의한다
- 401 Unauthorized 응답과 함께 사용한다.
쿠키
- Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답)
- Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달
만약 쿠키를 사용하지 않는다고 가정하자. /Welcome에 접근을 한다. 그러면 서버에서는 응답을 내려준다.
만약 홍길동이라는 유저가 로그인을 하였다.
그럼 서버는 홍길동이라는 유저가 로그인을 하였다는 걸 알 수 있기에 그에 맞는 응답을 내려줄 것이다.
로그인을 한 상태에서 다시 welcome 페이지에 접근을 하면 어떻게 될까?
(현재는 쿠키를 사용하고 있지 않은 상태이다)
서버는 홍길동이였던 걸 인식하지 못한 채 다시 손님으로 응답을 내려줄 것이다.
서버는 /welcome이라는 걸 보고 로그인 한 사용자인지 아닌지 구분할 수 있는 방법이 없기 때문이다.
홍길동이 보낸 요청인지 알 수 없기 때문이다.
Stateless
- HTTP는 기본적으로 무상태(Stateless)프로토콜이다.
- 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
- 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
- 클라이언트와 서버는 서로 상태를 유지하지 않는다.
상태를 유지하지 않으니까 위와 같은 문제가 발생하는 것이다.
대안 1. 모든 요청에 사용자 정보를 포함해서 보낸다.
이 방법은 권장되지 않는다.
모든 요청과 링크에 사용자 정보를 포함하면, 보안 문제도 있고 개발에 어려움이 발생한다.
또한 브라우저를 완전히 종료하고 다시 열면 문제가 있다.
해결책
이러한 문제를 해결하기 위해 쿠키라는게 등장했다.
-> 웹 브라우저가 POST로 로그인을 하면 서버는 Set-Cookie: user=홍길동을 쿠키로 말아서 응답을 한다.
웹 브라우저 내부에는 쿠키 저장소가 있다. 그 저장소에 user=홍길동을 저장해둔다.
로그인 이후 welcome 페이지를 접근을 하게 되면, 자동으로 웹 브라우저는 서버에 요청을 보낼때마다 쿠키를 한번 뒤지고 쿠키의 값을 꺼내서 HTTP헤더를 만들고 서버에 보낸다.
쿠키 : 모든 요청에 쿠키 정보를 자동으로 포함한다.
하지만 모든 곳에 쿠키 정보를 보내면 보안 및 여러가지 문제들이 발생할 것이다. 이 쿠키를 제약하는 방법이 있다.
쿠키
ex) set-cookie: sessionId=abcd1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
sessionId = 세션 아이디, expires = 만료되는 시간, path = 이런 경로들에 대해서 허용, domain = 이런 도메인들에 대해서 허용, Secure = 쿠키에 보안정보를 넣음
- 사용처
- 사용자 로그인 세션 관리
- 광고 정보 트래킹
- 쿠키 정보는 항상 서버에 전송된다.
- 네트워크 트래픽 추가 유발
- 최소한의 정보만 사용(세션 id, 인증 토큰)
- 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지(localStorage, sessionStorage)참고
- 주의!
- 보안에 민감한 데이터는 저장하면 안된다.(주민번호, 신용카드 번호 등등)
쿠키의 생명주기(Expires, max-age)
- Set-Cookie : expires=Sat, 26-Dec-2020 00:00:00 GMT
- 만료일이 되면 쿠키가 삭제된다.
- Set-Cookie : max-age=3600(3600초)
- 0이나 음수를 지정하면 쿠키 삭제
- 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시까지만 유지
- 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지
쿠키의 도메인(Domain)
내가 지정한 쿠키가 아무 사이트에 들어갈때마다 생성되면 문제가 발생한다. 따라서 도메인을 지정할 수 있다.
예)domain = example.org
- 명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함
- domain=example.org를 지정해서 쿠키 생성
- example.org는 물론이고
- dev.example.org도 쿠키 접근 가능
- 생략시 : 현재 문서 기준 도메인만 적용
- example.org에서 쿠키를 생성하고 domain 지정을 생략
- example.org 에서만 쿠키 접근
- dev.example.org는 쿠키 미접근
쿠키의 경로(Path)
도메인으로 한번 필터를 거친 후 경로로 추가 필터링을 거친다.
예) path=/home
- 이 경로를 포함한 하위 경로 페이지만 쿠키 접근이 가능하다.
- 일반적으로 path=/ 루트로 지정한다.
예) path=/home으로 지정하면
/home -> 가능
/home/level1 -> 가능
/home/level1/level2 -> 가능
/hello -> 불가능
쿠키의 보안(Secure, HttpOnly, SameSite)
- Secure
- 쿠키는 http, https를 구분하지 않고 전송한다.
- Secure를 적용하면 https인 경우에만 전송한다.
- HttpOnly
- XSS 공격 방지
- 자바스크립트에서 접근이 불가하다.
- HTTP 전송에만 사용한다.
- SameSite
- XSRF 공격을 방지한다.
- 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키를 전송한다.
'공부 > HTTP' 카테고리의 다른 글
| HTTP 헤더2 - 캐시와 조건부 요청 (0) | 2025.01.22 |
|---|---|
| HTTP 상태 코드 (0) | 2025.01.20 |
| HTTP 메서드 활용 (0) | 2025.01.17 |
| HTTP 메서드 (0) | 2025.01.16 |
| HTTP 기본 (1) | 2025.01.15 |