HTTP 헤더1 - 일반 헤더

LeeKyoungChang·2022년 1월 1일

HTTP 웹 기본 지식

spring, jpa 강의를 보고 정리한 내용입니다.

목록 보기

17/107

'모든 개발자를 위한 HTTP 웹 기본 지식' 수업을 듣고 정리한 내용입니다.

📚 1. HTTP 헤더 개요

💡 header-field = field-name":"OWS field-value OWS

OWS : 띄어쓰기 허용

field-name : 대소문자 구분하지 않는다.

HTTP 헤더 용도

HTTP 전송에 필요한 모든 부가정보를 넣는다.
ex) 메시지 바디의 내용, 메시지 바디의 크기, 압축, 입증, 요청 클라이언트, 서버 정보, 캐시 관리 정보 등
표준 헤더가 너무 많으며 필요시 임의의 헤더 추가가 가능하다.
- ex) helloworld: hihi

📖 A. RFC2616(과거)

(1) HTTP 헤더

헤더 분류

General 헤더 : 메시지 전체에 적용되는 정보
- ex) Connection: close
Request 헤더 : 요청 정보
- ex) User-Agent: Mozilla/5.0 (Macintosh; ..)
Response 헤더 : 응답 정보
- ex) Server: Apache
Entity 헤더 : 엔터티 바디 정보
- ex) Content-Type : text/html, Content-Lenght : 3423

(2) HTTP BODY

메시지 본문(message body)은 엔터티 본문(entity body)을 전달하는데 사용
엔터티 본문은 요청이나 응답에 전달할 실제 데이터
엔터티 헤더는 엔터티 본문의 데이터를 해석할 수 있는 정보 제공
- 데이터 유형(html, json), 데이터 길이, 압축 정보 등등

📖 2. RFC723x(최신) 변화

엔터티(Entity) → 표현 (Representation)
Representation = reoresentation Metadata + Representation Data
표현 = 표현 메타데이터 + 표현 데이터

(1) HTTP BODY

메시지 본문(message body)을 통해 표현 데이터 전달
메시지 본문 = 페이로드(payload)
표현은 요청이나 응답에서 전달할 실제 데이터
표현 헤더는 표현 데이터를 해석할 수 있는 정보 제공
- 데이터 유형(html, json), 데이터 길이, 압축 정보 등등
참고 : 표현 헤더는 표현 메타데이터와 페이로드 메시지를 구분해야 하지만, 여기서는 생략

📚 2. 표현

Content-Type : 표현 데이터의 형식
Content-Encoding : 표현 데이터의 압축 방식
Content-Language : 표현 데이터의 자연 언어
Content-Length : 표현 데이터의 길이
표현 헤더는 전송, 응답 둘다 사용 가능하다.

📖 A. Content-Type

표현 데이터의 형식 설명

미디어 타입, 문자 인코딩
ex)
- text/html; charset=utf-8
- application/json
- image/png

📖 B. Content-Encoding

표현 데이터 인코딩

표현 데이터를 압축하기 위해 사용한다.
데이터를 전달하는 곳에서 압축 후 인코딩 헤더 추가
데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제
ex)
- gzip, deflate
- identity (의미 : 압축을 하지 않는다.)

📖 C. Content-Language

표현 데이터의 자연 언어

ko
en
en-US
해당 헤더를 통해 국가별로 맞는 언어로 응답을 받을 수 있다. (지원한다는 가정하에)

📖 D. Content-Length

표현 데이터의 길이

바이트 단위
Transfer-Encoding (전송 코딩)을 사용하면 Content-Length 를 사용하면 안된다.

📚 3. 콘텐츠 협상

협상
➡️ 클라이언트가 선호하는 표현 요청

클라이언트와 서버 간에 클라이언트가 원하는 우선순위대로 맞추어 서버에서 표현 데이터를 만들어 주는 것이다.

협상 헤더는 요청시에만 사용한다.

Accept : 클라이언트가 선호하는 미디어 타입 전달
Accept-Charset : 클라이언트가 선호하는 문자 인코딩
Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
Accept-Language : 클라이언트가 선호하는 자연 언어

📖 A. Accpet-Language 적용전

한국어 브라우저에서 특정 웹사이트에 접속했을 때 콘텐츠 협상(Accept-Language)이 안되어있을 경우
서버에서는 우선순위 같은 것이 없기에 기본 언어로 설정된 영어(en)로 응답한다.

📖 B. Accept-Language 적용 후

클라이언트에서 Accept-Language: ko 로 작성해 요청하면 서버에서는 해당 우선순위 언어를 지원할 수 있기 때문에 해당 언어인 한국어로 된 응답을 작성해 반환해준다.

📖 C. Accept-Language 복잡한 예시

클라이언트에서 Accept-Language: ko 로 작성해 요청하면 다중 지원 서버가 한국어를 지원하지 않기에 독일어로 된 응답을 작성해 반환해준다. (원하는 한국어 얻지 못함)

📖 D. 협상과 우선순위 1

Quallity Values(q)

Quallity Values(q) 값 사용
0 ~ 1, 클수록 높은 우선순위
생략하면 1이 된다.
Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7
우선순위
- (1) ko-KR;q=1 : q가 생략되어 있기에 1
- (2) ko;q=0.9
- (3) en-US;q=0.8
- (4) en;q=0.7

➡️ 클라이언트가 한국어를 서버에 보냈다. 서버 기본어는 독일어이므로 클라이언트 우선순위를 보게된다. 클라이언트에서 우선 순위 첫 번째는 한국어를 원하고 두 번째는 영어를 원하기에 영어로 된 응답을 작성해 반환해준다. (서버 두번 째 우선순위가 영어가 존재하기에)

📖 E. 협상과 우선순위 2

Quality Values(q)

구체적인 것이 우선순위가 높다.
Accept: text/*, text/plain, text/plain;format=flowed, */*
- (1) text/pain;format=flowed
- (2) text/plain
- (3) text/*
- (4) */*

📖 F. 협상과 우선순위 3

Quality Values(q)

구체적인 것을 기준으로 미디어 타입을 맞춘다.
Accept: text/*;q=0.3, text/html;q=0.7, text/html;level=1, text/html;level=2;q=0.4, */*;q=0.5
테이블 Media Type 과 매칭되는 것이 없으면 Quality 는 테이블을 기준으로 한다. (테이블과 Accpet: 비교)

📚 4. 전송 방식

📖 A. 단순 전송(Content-Length)

응답할 때 메세지 바디에 대한 Content-Length 를 지정하는 것

메세지 바디의 길이를 다 알고 있을 때 사용한다.
한 번에 요청하고 응답한다.

📖 B. 압축 전송(Content-Encoding)

서버에서 메세지 바디 를 gzip 같은 방식을 이용해 압축해서 전달하는 방식

Content-Encoding 이라는 항목을 헤더에 넣어서 어떻게 압축했는지 알려줘야 한다.

📖 C. 분할 전송 (Transfer-Encoding)

chunked 라고 불리는 덩어리로 쪼개서 보내는 방식

서버에서 클라이언트로 응답 메시지를 특정 단위로 나눠서 보낸다.
용량이 매우 큰 응답을 할 때 분할 전송으로 전송되는대로 표현을 하는 방식이다.
이때는 Content-Length 를 넣으면 안된다. (길이를 예측할 수 없기 때문)

📖 D. 범위 전송 (Range, Content-Range)

중간에 전송이 끊긴 경우, 처음부터 보내면 아까우니까 범위를 지정해서 전송하는 것

이미지와 같이 용량이 큰 데이터를 받을 때 중간에 전송이 끊겼을 경우 범위를 지정해서 요청하면 매번 끊길 때마다 새로 받을 필요없이 특정 범위부터 응답해서 속도를 높힐 수 있다.

📚 2. 일반 정보

📖 A. Form

유저 에이전트의 이메일 정보

일반적으로 잘 사용되지 않는다.

검색 엔진 같은 곳에서, 주로 사용한다.

요청(Request)에서 사용한다.

📖 B. Referer

이전 웹 페이지 주소

현재 요청된 페이지의 이전 웹 페이지 주소

A -> B로 이동하는 경우 B를 요청할 때 Referer: A 를 포함해서 요청

Referer를 사용해서 유입 경로 분석 가능.

요청(Request)에서 사용

📖 C. User-Agent

유저 에이전트 애플리케이션 정보

클라이언트의 애플리케이션 정보(웹 브라우저 정보, 등등)

통계 정보

어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능

요청(Request)에서 사용

📖 D. Server

요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

응답(Response)에서 사용

server: nginx

📖 E. Date

메시지가 발생한 날짜와 시간

응답(Response)에서 사용한다.

Date: Tue. 15 Nov 1994 08:12:31 GMT

📚 3. 특별한 정보

📖 A. Host

요청한 호스트 정보(도메인)

요청(Request)에서 사용

필수 헤더

하나의 서버가 여러 도메인을 처리할 때 사용한다.

하나의 IP 주소에 여러 도메인이 적용되어 있을 때

📖 B. Location

페이지 리다이렉션

웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동한다. (리다이렉트)

201(Created) : Location 값은 요청에 의해 생성된 리소스 URI 이다.

3xx(Redirection) : Location 값은 요청을 자동으로 리디렉션 하기 위한 대상 리소스를 가리킨다.

📖 C. Allow

허용 가능한 HTTP 메서드

경로가 존재하지만 지원하는 HTTP 메서드가 한정적이기에 해당 헤더를 넣어주면 클라이언트에서는 서버에서 해당 경로가 지원하는 HTTP 메서드가 무엇인지 알 수 있다.

실제로 사용되는 빈도수가 높지 않다.

405 (Method Not Allowed) 에서 응답에 포함해야 한다.

Allow : GET, HEAD, PUT

📖 D. Retry-After

유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

503(Service Unavailable) : 서비스가 언제까지 불능인지 알져줄 수 있다.

Retry-After : Fri, 31 Dec 1999 23:59:59 GMT (날짜 표기)

Retry-After : 120 (초단위 표기)

예측하기 힘들어 사용하기 쉽지 않다.

📚 4. 인증

Authorization : 클라이언트 인증 정보를 서버에 전달

WWW-Authenticate : 리소스 접근시 필요한 인증 방법 정의

Authorization : 클라이언트 인증 정보를 서버에 전달

401 Unauthorized 응답과 함께 사용

📚 5. 쿠키

쿠키란 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각이다.
브라우저는 이 데이터 조각들을 저장해 놓았다가 동일한 서버에 재요청시 저장된 데이터를 함께 전송한다.

Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답)
Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

쿠키 주사용 목적
(1) 세션 관리(Session Management)

서버에 저장해야 할 로그인, 장바구니, 게임 스코어등의 정보 관리

(2) 개인화(Personalization)

사용자 선호, 테마 등의 세팅

(3) 트래킹(Tracking)

사용자 행동을 기록하고 분석하는 용도

📖 A. 쿠키 미사용

로그인 이후 welcome 페이지에 접근

➡️ 로그인 후 welcome 페이지에 접속하면, "안녕하세요. [닉네임]" 이렇게 해주기를 기대했지만, 서버에서는 이게 로그인한 유저가 보낸 요청인지 알 수 없다.
➡️ 이것은 바로 HTTP가 무상태 프로토콜(Stateless Protocol) 이기 때문이다❗️

클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
클라이언트와 서버는 서로 상태를 유지하지 않는다.

원하는 형태로 나오게 하기 위해서는 위와 같이 모든 요청에 사용자 정보를 포함해줘야 할 것이다.

모든 요청과 링크에 정보를 남길시 문제가 생긴다.
모든 요청에 사용자 정보가 포함되도록 개발해야 한다.

이를 위해서 쿠키를 사용한다.

📖 B. 쿠키 사용

클라이언트에서 로그인을 요청하며 데이터를 보내면 서버에서는 Set-Cookie로 로그인 정보를 담아 응답한다.
웹브라우저는 내장된 쿠키 저장소에 Set-Cookie 에 있는 정보를 저장한다.

그래서, 로그인 이후 welcome 페이지에 접근하면 쿠키를 조회해서 쿠키값을 Cookie 에 담아서 보낸다.

이제 모든 요청에 쿠키 정보를 자동으로 포함하게 된다❗️

🔔 쿠키 예시
set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure
(1) 사용처

사용자 로그인 세션 관리

광고 정보 트래킹

(2) 쿠키 정보는 항상 서버에 전송됨

네트워크 트래픽 추가 유발

최소한의 정보만 사용(세션 id, 인증 토큰)

서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고

(3) 주의

보안에 민감한 데이터는 저장하면 안된다. (주민번호, 신용카드 번호 등등)

🔔 쿠키 - 생명주기(Expires, max-age)
(1) Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT

expires : 만료일이 되면 쿠키 삭제

(2) Set-Cookie: max-age=3600 (3600초)

0이나 음수를 지정하면 쿠키 삭제

(3) 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지

(4) 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

🔔 쿠키 - 도메인(Domain)
ex) domain=example.org
(1) 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함

domain=example.org 를 지정해서 쿠키 생성

example.org 와 dev.example.org 도 쿠키 접근한다.

(2) 생략: 현재 문서 기준 도메인만 적용

example.org 에서 쿠키를 생성하고 domain 지정을 생략

example.org 에서만 쿠키 접근

dev.example.org 는(하위 도메인에서는) 쿠키 미접근

🔔 쿠키 - 경로(Path)
ex) path=/home

이 경로를 포함한 하위 경로 페이지만 쿠키 접근

일반적으로 path=/ 루트로 지정

ex)

path=/home 지정

/home : 접근 가능 (접근 : 클라이언트가 서버로 접근)

/home/level1 : 접근 가능

home/level1/leve2 : 접근 가능

/hello : 접근 불가능

🔔 쿠키 - 보안(Secure, HttpOnly, SameSite)
(1) Secure

쿠키는 http, https를 구분하지 않고 전송

Secure를 적용하면 https인 경우에만 전송

(2) HTTPOnly

XSS 공격 방지

자바스크립트에서 접근 불가(document cookie)

HTTP 전송에만 사용

(3) SameSite

XSRF 공격 방지

요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송 (사용할 때 정보들을 알아보고 사용해야한다.)

참고

https://velog.io/@mmy789/TIL-7.-HTTP-%ED%97%A4%EB%8D%941-%EC%9D%BC%EB%B0%98-%ED%97%A4%EB%8D%94#-%EB%8B%A8%EC%88%9C-%EC%A0%84%EC%86%A1-content-length

LeeKyoungChang

"야, (오류 만났어?) 너두 (해결) 할 수 있어"

이전 포스트

HTTP 상태코드

다음 포스트