[HTTP] 일반 헤더

이 글은 인프런 김영한님의 Spring 강의를 바탕으로 개인적인 정리를 위해 작성한 글입니다.

---

HTTP 헤더 개요

HTTP 전송에 필요한 메시지 바디의 내용, 메시지 바디의 크기, 압축, 인증, 요청 클라이언트, 서버 정보, 캐시 관리 등 모든 부가 정보를 헤더에 넣는다. 표준 헤더가 굉장히 많다. 

필요시 임의의 헤더 추가가 가능하다. 

 

RFC2616

Header

• General 헤더: 요청/응답 메시지 전체에 적용되는 정보 (Connection: close 등)
• Request 헤더: 요청 정보 (User-Agent: Mozilla/5.0  등)
• Response 헤더: 응답 정보 (Server: Apache  등)
• Entity 헤더: 엔티티 바디 정보 (Content-Type: text/html, Content-Length: 3423  등)

 

BODY

메시지 본문을 통해 엔티티 본문을 전달 하는데 사용한다.

엔티티 헤더는 엔티티 본문의 데이터를 해석할 수 있는 데이터 유형, 데이터 길이, 압축 정보 등을 제공한다. 

 

표현(Representation) - RFC7230(최신)

1. 1999년 RFC2616 폐기
2. 2014년 RFC7230~7235 등장
3. 엔티티(Entity) -> 표현(Representation)

 

HTTP BODY

• 메시지 본문(message body)를 통해 표현 데이터 전달
• 메시지 본문 = 페이로드(payload)
• 표현 = 요청이나 응답에서 전달할 실제 데이터(표현 헤더 + 표현 데이터)
• 표현 헤더는 표현 데이터를 해석할 수 있는 정보 제공

 

HTTP HEADER

Content-Type

• Content-Type: 표현 데이터의 형식
• Content-Encoding: 표현데이터의 압축 방식
• Content-Language: 표현 데이터의 자연 언어
• Content-Length: 표현 데이터의 길이

 

콘텐츠 협상

클라이언트가 선호하는 표현 요청

• Accept : 클라이언트가 선호하는 미디어 타입 전달
• Accept-Charset : 클라이언트가 선호하는 문자 인코딩
• Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
• Accept-Language : 클라이언트가 선호하는 자연 언어

협상 헤더는 요청시에만 사용

 

Accept-Language 적용 전

클라이언트에서 서버로 요청을 보낼 때 한국어 정보를 원하는지 영어 정보를 원하는지 아무 정보가 없다.

그러면 서버는 기본값인 영어 관련된 내용으로 한국어 브라우저로 응답을 해준다. 

 

Accept-Language 적용 후

클라이언트가 선호하는 언어에 한국어 정보를 입력해서 서버에게 전달한다.

서버는 기본 언어가 영어지만 한국어도 지원하기 때문에 클라이언트가 원하는 한국어로 데이터를 전달한다.

 

Accept-Language  복잡한 예시

클라이언트가 선호하는 언어를 한국어 정보를 입력해서 서버에게 전달하는데, 서버가 기본은 독일어, 또 다른 언어로 영어만 지원한다.

서버가 한국어 지원을 하지 않아서 기본값인 독일어로 보내게 된다. 

 

협상과 우선순위

Quality Values(q) 값으로 사용한다. 0~1로 값이 클수록 우선순위가 높고 1은 생략이 가능하다.

GET /event
Accept-Language:ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7

1. ko-KR;q=1
2. ko;q=0.9
3. en-US;q=0.8
4. en;q=0.7

위에 표현된 값으로 우선순위를 파악해서 어떤 언어를 클라이언트가 선호하는지 알 수 있다.

위 예시에서는 독일어보다 영어가 우선순위가 높기 때문에 영어로된 데이터를 전송하게 된다.

---

구체적일 수록 우선순위가 높다. 

GET /event
Accept: text/*, text/plain, text/plain;format=flowed, */*

1. text/plain;format=flowed
2. text/plain
3. text/*
4. */*

---

구체적인 것을 기준으로 미디어 타입을 맞춘다.

클라이언트에서 요청한 text/html;level의 우선순위가 가장 높고 서버가 해당 미디어 타입을 지원하므로 text/html;level 미디어타입으로 응답한다.

 

전송 방식

단순 전송 (Content-Length)

데이터 전체를 한 번에 보낼 때 사용

 

압축 전송 (Content-Encoding)

전송해야하는 데이터가 커서 압축해서 보낼 때 사용(압축 방식은 다양함)

 

분할 전송 (Transfer-Encoding)

chunked는 덩어리라는 뜻이다.

덩어리로 쪼개서 전송을 한다.

5byte로 Hello를 서버에서 클라이언트로 보낸다.

또 5byte로 World를 보내고 마지막으로 0byte로 src를 보내면 끝이라는 걸 표현한다.

분할 전송할 때는 Content-Length를 넣으면 안된다.

 

범위 전송 (Content-Range)

Range 설정해서 요청 -> Content-Range 설정해서 응답

• Range: bytes=클라이언트가 요청한 데이터의 범위
• Content-Range: bytes 클라이언트가 요청한 데이터의 범위 / 전체 데이터의 길이
•  Content-Length: 실제 전송된 데이터의 길이

어떠한 이유로 중간에 재요청해야할 때, 범위를 지정하여 사용

처음부터 다시 받지 않고, 이후 부분부터 받는다.

 

일반 정보

From

유저 에이전트의 이메일 정보이다. 일반적으로 잘 사용하지 않는다. 검색 엔진 담당자한테 사이트에 대해서 정보를 알려줄 때 연락할 수 있는 방법이 필요할 때 요청할 때 사용한다.

 

Referer(요청)

현재 요청된 페이지의 이전 웹 페이지 주소이다. A에서 B로 이동하는 경우 B를 요청할 때 Referer A를 포함해서 요청한다.

Referer를 사용해서 데이터 분석 할 때 유입 경로 분석을 가능하다. 

referer는 referrer의 오타

 

User-Agent(요청)

• 유저 에이전트(클라이언트) 애플리케이션 정보 (웹 브라우저 정보..)
• 장애가 발생하는 브라우저 파악, 통계 정보 사용

 

Server (응답)

• 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
• ORIGIN 서버: 실제로 응답을 보낸 서버(HTTP 요청을 보내면, 실제로 많은 프록시 서버를 거쳐 응답을 받게됨)

 

Date (응답)

• 메시지가 발생한 날짜와 시간

 

---

특별한 정보

Host(요청)

요청에서 사용하고 필수값이다. 다른 헤더에서는 거의 없고 Host는 필수 헤더이다. 하나의 서버가 여러 도메인을 처리해야 할 때, 하나의 IP 주소에 여러 도메인이 적용되어 있을 때 구분해줘야 한다.

가상호스트를 통해서 하나의 서버가 지금 IP : 200.200.200.2 가 있는데 서버 안에 여러 개의 애플리케이션이 다른 도메인으로 구동되어 있다.

클라이언트가 /hello 로 GET 방식으로 요청을 했는데 서버 입장에서는 /hello 와 관련된 애플리케이션에 어디로 들어갈지 모른다. 

TCP/IP 통신으로 Host 헤더로 입력하면 서버에서 Host 헤더가 있기 때문에 요청에 맞는 도메인주소를 들어갈 수 있다.  

Q. Port와 Host는 비슷한 개념?
A.해당 IP에서 Host를 찾고 -> 그 안에서 Port로 구분

 

Location (응답)

페이지 리다이렉션

• 3xx(Redirection)의 Location 값: 요청을 자동으로 리다렉션하기 위한 대상 리소스(이동할 위치)
• 201(Created)의 Location 값: 요청에 의해 생성된 리소스의 URI

 

Allow (응답)

허용 가능한 HTTP 메서드

• 405(Method Not Allowed) 에서 응답에 포함해야 함

 

Retry-After

유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

• 503 (Service Unavailable): 서비스가 언제까지 불가인지 알려줄 수 있음
• 날짜, 초단위 표기

 

 

쿠키

 

• Set-Cookie: 서버->클라이언트 쿠키 전달(응답)
• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장, 클라이언트->서버 쿠키 전달(요청)

 

로그인을 하면 서버에서는 Set-Cookie로 홍길동 정보를 쿠키로 만들어서 보내준다.

클라이언트의 웹 브라우저 내부에는 쿠키 저장소가 있는데 서버가 응답에서 만든 쿠키를 쿠키 저장소에 저장을 한다.

 

로그인 이후에 웹 브라우저가 /welcome에 들어오면 자동으로 웹 브라우저는 쿠키를 담아 서버에 요청한다.

 

지정한 서버 쿠키는 모든 요청 정보에 쿠키 정보를 자동으로 포함을 한다. 

 

1. 웹 브라우저가 id, password를 담아 서버에 로그인을 요청함
2. 서버는 id, password 검증에 성공하면, 해당 사용자에 대한 sessionId(쿠키)를 생성함
3. 서버는 Set-Cookie에 sessionId를 담아 웹 브라우저에 로그인 성공을  응답함
4. 웹 브라우저는 쿠키 저장소에 sessionId(쿠키)를 저장함
5. 이후 웹 브라우저가 쿠키 접근가능한 도메인에 요청을 보낼 때마다 자동으로 쿠키 저장소에서 꺼낸 sessionId(쿠키)를 Cookie에 담아 서버에 요청을 보냄
6. 서버는 sessionId(쿠키)의 유효성을 검사해 클라이언트를 식별함

 

쿠키 정보는 항상 서버에 전송된다.
-> 네트워크 트래픽 추가 유발
-> 최소한의 정보만 사용(세션 id, 인증 토큰)

보안에 민감한 데이터는 쿠키/웹스토리지에 저장하면 안된다.

 

생명주기

Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT

• expires : 쿠키를 무제한으로 보관할 수 없다. GMT기준으로 만료일이 되면 쿠키를 자동으로 삭제한다. 

 

Set-Cookie: max-age=3600

• max-age :  초 단위로 구성되어 있고 0이나 음수를 지정하면 쿠키가 삭제한다. 

 

종류

• 세션 쿠키 : 만료 날짜를 생략하면 브라우저가 종료할 때까지 유지
• 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지(브라우저가 종료되어도 클라이언트 시간이 남아있는 한 유지)

 

도메인

• 명시 : 도메인을 명시를 하면 명시한 문서 기준 도메인과 서브 도메인을 포함을 해서 다 전송
  - example.org 지정을 해서 쿠키를 생성하면 dev.example.org도 쿠키가 같이 접근할 수 있다.
• 생략 :현재 문서 기준 도메인만 적용
  - example.org에서는 쿠키로 접근할 수 있고, dev.example.org는 쿠키로 접근할 수 없다.

 

경로

경로를 포함한 하위 경로 페이지만 쿠키를 접근 할 수 있다. 일반적으로 path=/ 루트로 지정한다

path=/home 지정

• /home ->  가능
• /home/level1 ->  가능
• /home/level1/level2 ->  가능
• /hello ->  불가능

 

보안

Secure, HttpOnly, SameSite

Secure

• https인 경우메만 쿠키를 전송
• 쿠키는 원래 http, https 를 구분하지 않고 쿠키를 서버에 전송함

 

HttpOnly

• XSS 공격 방지 목적
• 자바스크립트에서 쿠키 접근X(document.cookie), HTTP 전송에서만 쿠키 사용

 

SameSite

• XSRF 공격 방지 목적
• 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송