#7 HTTP 헤더_일반 헤더

HTTP 헤더_일반 헤더

 

1. HTTP 헤더 분류

HTTP 헤더는 다음과 같이 분류된다.

 

· General 헤더: 메시지 전체에 적용되는 정보

ex) Connection: close

· Request 헤더: 요청 정보

· Response 헤더: 응답 정보

· Representation 헤더: 메시지 본문에 대한 정보를 나타내는 헤더

 - HTTP 표준인 RFC7230(최신)의 표현 방식

 

 

2. Representation 헤더

표현 헤더는 메시지 본문을 해석할 수 있는 정보를 제공한다.

 

주로 사용되는 표현 헤더는 다음과 같다.

 

■ Content-Type

· 표현 데이터의 형식 설명

· 미디어 타입, 문자 인코딩

ex) text/html; charset=utf-8, application/json, image/png

 

■ Content-Encoding

· 표현 데이터를 압축하기 위해 사용

· 데이터를 전달하는 쪽에서 압축 후 인코딩 헤더를 추가하고, 읽는 쪽에서 인코딩 헤더의 정보로 압축을 해제한다.

 

■ Content-Language

· 표현 데이터의 자연 언어

ex) ko, en, en-US

 

■ Content-Length

· 바이트 단위

· Transfer-Encodig(전송 코딩)을 사용하면 Content-Length를 사용하면 안된다.

 

 

3. 협상(콘텐츠 네고시에이션) 헤더

클라이언트가 선호하는 표현 요청에 대한 정보를 제공한다.

 

주로 사용되는 협상 헤더는 다음과 같다.

 

· Accept: 클라이언트가 선호하는 미디어 타입 전달
· Accept-Charset: 클라이언트가 선호하는 문자 인코딩
· Accept-Encoding: 클라이언트가 선호하는 압축 인코딩
· Accept-Language: 클라이언트가 선호하는 자연 언어

 

※ 협상 헤더는 요청시에만 사용된다.

 

 

[협상 헤더 - Accept-Language]

클라이언트의 요청에 서버가 다중 언어를 지원한다면 클라이언트의 요청에 있는 협상 헤더를 참조해 선호 언어로 응답한다.

 

■ 협상과 우선순위

협상 헤더를 사용했을 때 서버가 클라이언트가 일순위로 선호하는 타입을 전혀 지원하지 않을 수 있다.

 

이 경우 클라이언트는 다수의 선호 타입에 우선순위를 정해 차선의 선호 타입을 선택할 수 있다.

 

· Quality Values(q)값 사용

· 우선순위는 0~1의 값을 가지며 클수록 높은 우선순위를 갖는다.

 

· 우선순위의 값을 생략하면 1을 의미한다.

ex) Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7

 

· 구체적인 것이 우선된다.

ex) Accept: text/*, text/plain, text/plain;format=flowed, */*

=> 가장 구체적인 text/plain;format=flowed 는 우선순위가 가장 높고 제일 모호한 */* 는 우선순위가 가장 낮다.

 

 

4. 전송 방식

HTTP를 전송하는 방식에 따라 사용가능하 헤더가 지정되어있다.

 

HTTP를 전송하는 방식은 다음과 같이 분류할 수 있다.

 

■ 단순 전송

· Content-Length를 사용해 메시지 바디의 길이 정보를 담아 전송한다.

 

■ 압축 전송

· 메시지 바디를 압축하고, Content-Encoding을 사용해 압축 방법에 대한 정보를 담아 전송한다.

 

■ 분할 전송

· 메시지를 분할 해서 전송한다.

· Transfer-Encoding을 이용해 분할 정보를 제공한다.

 

 

[분할 전송 예시]

 

■ 범위 전송

· 특정 범위를 지정해 전송을 요청받고 지정받은 범위만 전송한다.

· Range를 사용해 전송 범위를 지정한다(요청).

· Content-Range를 사용해 전송 범위를 나타낸다(응답).

 

 

[범위 전송 예시]

 

 

5. 일반 헤더

■ From

· 유저 에이전트의 이메일 정보

· 일반적으로 잘 사용되지 않음

· 주로 검색 엔진 같은데서 사용된다.

· 요청에 사용된다. 

 

■ Referer

· 현재 요청된 페이지의 이전 웹 페이지 주소

· 요청에서 사용된다.

· Referer를 사용해서 유입 경로 분석 가능

 

■ User-Agent

· 유저 에이전트 애플리케이션 정보

· 클라이언트의 애플리케이션 정보(웹 브라우저 정보 등)

· 요청에 사용된다.

· 어떤 종류의 브라우저에서 장애가 발생하는지 파악할 수 있다.

 

■ Server

· 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

ex) Server: Apache/2.2.22(Debian)

· 응답에서 사용

 

■ Date

· 메시지가 발생한 날짜와 시간

· 응답에서 사용

 

 

6. 특별한 정보 헤더 

■ Host

· 요청한 호스트 정보(도메인)

· 요청에서 사용되며 필수이다.

 

■ Location

· 웹 브라우저는 3XX 응답 결과에 Location 헤더가 있으면, Location 위치로 자동 이동(리다이렉트)

· 201 (Created)일 때 생성되는 Location 값은 요청에 의해 생성된 리소스 URI를 의미한다.

 

■ Allow

· 405 (Method Not Allowed)에서 응답에 포함해야 한다.

 

■ Retry-After

· 503 (Service Unavailable): 서비스가 언제까지 불능인지 알려줄 수 있음

· 지정된 날짜 또는 초단위로 표현될 수 있다.

 

■ Authorization

· 클라이언트 인증 정보를 서버에 전달한다.

 

■ WWW-Authenticate

· 리소스 접근시 필요한 인증 방법 정의

· 401 Unauthorized 응답과 함께 사용된다.

 

 

7. 쿠키

HTTP는 무상태 프로토콜이기 때문에 클라이언트와 서버는 서로 상태를 유지하지 않는다.

 

때문에 로그인과 같은 클라이언트의 특정 상태가 유지된 상태에서 요청을 할 경우 매 요청마다 필요한 데이터를 포함해야 한다.

 

 

[쿠키 미사용]

홍길동이라는 유저가 로그인 상태로 여러 요청을 보내기 위해서는 모든 요청마다 사용자 정보(user=홍길동)을 포함해야 한다.

 

쿠키는 특정 데이터를 클라이언트의 쿠키 저장소에 저장하여 특정 데이터를 URI가 요구할 때마다 해당 정보를 자동으로 삽입하여 요청하는 방식을 사용한다.

 

여기서 쿠키 저장소에 저장되는 특정 데이터를 쿠키라고 한다.

 

 

[쿠키 - 로그인 1]

서버에서 응답 HTTP에 클라이언트가 저장해야할 쿠키 정보를 제공하고 클라이언트는 쿠키저장소에 해당 데이터를 저장한다.

 

 

[쿠키 - 로그인 2]

한 번 쿠키를 저장하면 쿠키가 필요한 URI에 쿠키에 대한 정보를 삽입해 요청한다.

 

서버는 요청받은 쿠키정보를 바탕으로 응답한다.

 

■ 쿠키 관련 헤더

· set-cookie

 - 클라이언트가 저장해야 할 쿠키를 지정해준다.

 - 응답에 사용된다.

 

 □ 생명주기

 · expires 또는 max 사용

 · expires는 특정 만료일이 되면 쿠키를 삭제

 ex) Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT

 

 · max는 특정 시간이 경과하면 쿠키를 삭제

 ex) Set-Cookie: max-age=3600 (3600초)

 · 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지

 · 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지    

 □ 도메인

 · 도메인을 명시할 경우 "명시한 문서 기준 도메인 + 서브 도메인"에 쿠키가 적용된다.

 ex) domain=example.org를 지정할 경우 example.org는 물론 dev.example.org도 쿠키 접근이 가능하다.

 

 · 도메인을 생략 할 경우 현재 문서 기준 도메인만 쿠키가 적용된다.

 ex) example.org에서 쿠키를 생성할 경우 example.org에서만 쿠키가 접근가능하고 dev.example.org와 같은 도메인은 쿠키 접근이 불가하다.

 

 □ 경로

 · path

 · 해당 경로를 포함한 하위 경로 페이지만 쿠키 접근

 · 일반적으로 path/=루트로 지정

 ex) path=/home

 

 □ 보안

 

 · Secure

  - 쿠키는 http, https를 구분하지 않지만 Secure를 적용하면 https만 전송

 

 · HttpOnly

  - 자바스크립트에서 접근 불가

  - HTTP 전송에만 사용

 

 · SameSite

  - 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

· Cookie

 - 쿠키 정보를 제공한다.

 - 요청에 사용된다. 

 

■ 쿠키 사용처

· 사용자 로그인 세션 관리

ex) set-cookie: sessionId=abcde1234;

※ 세션은 쿠키와 반대로 서버에서 저장하는 클라이언트를 식별하기 위한 데이터

 

· 쿠키 정보는 항상 서버에 전송됨

 - 네트워크 트래픽 추가 유발

 - 이 때문에 최소한의 정보만 사용해야 한다(세션 id, 인증 토큰).

· 보안에 민감한 데이터는 저장하면 안된다(주민번호, 신용카드 번호 등).