HTTP 헤더 1

모든 개발자를 위한 HTTP 웹 기본 지식 강의를 듣고 간단하게 정리한 내용 및 추가로 알게 된 내용입니다.

 

헤더

    용도

        HTTP 전송에 필요한 모든 부가정보 - 메시지 바디 내용, 크기, 압축 등등

   

    표현(Representation)

        Representation = Representation Metadata + Representation Data

        표현 = 표현 메타데이터 + 표현 데이터

        표현은 요청이나 응답에서 전달할 실제 데이터

        표현 헤더는 표현 데이터를 해설할 수 있는 정보 제공

 

    HTTP BODY

        메시지 본문(message body)을 통해 표현 데이터 전달

        메시지 본문 = 페이로드(payload)

        페이로드 - 사용에 있어서 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다.

    

    부가정보 몇가지 예시

        Content-Type: 표현 데이터의 형식

            application/json

            application/x-www-form-urlencoded

            application/xml
        Content-Encoding: 표현 데이터의 압축 방식

            HTTP 데이터는 서버로부터 전송되기 전에 압축된다.

            압축 스킴으로는 Gzip와 DEFLATE가 있다.
        Content-Language: 표현 데이터의 자연 언어
        Content-Length: 표현 데이터의 길이

 

    협상(콘텐츠 네고시에이션)

        클라이언트가 선호하는 표현 요청

            Accept: 클라이언트가 선호하는 미디어 타입 전달

            Accept-Charset: 클라이언트가 선호하는 문자 인코딩

            Accept-Encoding: 클라이언트가 선호하는 압축 인코딩

            Accept-Language: 클라이언트가 선호하는 자연 언어

        

        협상과 우선순위

            Quality Values(q)

            0~1, 클수록 높은 우선 순위

            accept-language: ko,en;q=0.9,ko-KR;q=0.8,en-US;q=0.7

 

            구체적인 것이 우선

            accept: text/*, text/plain, */*

 

    전송 방식

        단순 전송

            Content-Length 길이를 알아야 한다

        압축 전송

            Content-Encoding 을 추가로 넣어야 한다

        분할 전송

            Transfer-Encoding 을 넣어줘야 한다

        범위 전송

            Content-Range를 사용해야 한다

 

    일반 정보

        From - 유저 에이전트의 이메일 정보

            검색 엔진 같은 곳에서 주로 사용

        Referer - 이전 웹 페이지 주소

            현재 요청된 페이지의 이전 웹 페이지 주소

            유입 경로 통계를 만들 수 있음

        User-Agent - 유저 에이전트의 애플리케이션 정보

            클라이언트의 애플리케이션 정보(웹 브라우저 정보 등등)

        Server - 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

        Date - 메시지가 발생한 날짜와 시간

            응답에서 사용

 

    특별한 정보

        Host - 요청한 호스트 정보(도메인)

            요청에서 사용

            필수

        Location - 페이지 리다이렉션

            웹 트라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동(리다이렉트)

        Allow - 허용 가능한 HTTP 메서드

            Allow: GET, HEAD, PUT

 

    인증

        Authorization: 클라이언트 인증 정보를 서버에 전달

 

    쿠키

        Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)

        Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

 

        모든 요청에 쿠키 정보 자동 포함이 되므로 최소한의 정보만 사용(세션 id, 인증 토큰)

        보안에 민감한 데이터는 저장하면 안됨

 

        생명주기

            Expires, max-age

                만료일이 되면 쿠키 삭제

                0이나 음수를 지정하면 쿠키 삭제

                    expires: -1

                세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시까지만 유지

                영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

        

        도메인

            명시하면 명시한 문서 기준 도메인 + 서브 도메인 포함

            생략하면 현재 문서 기준 도메인만 적용

 

        경로

            이 경로를 포함한 하위 경로 페이지만 쿠키 접근

 

        보안

            Secure

                Secure을 적용하면 https인 경우에만 전송

            HttpOnly

                XSS 공격 방지

                XSS(사이트 간 스크립팅) - 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점

            SameSite

                XSRF 공격 방지

                XSRF(사이트 간 요청 위조) - 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

 

 

 

참고

https://www.inflearn.com/course/http-%EC%9B%B9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC/dashboard

위키백과 사이트 간 스크립팅

위키백과 사이트 간 요청 위조

위키백과 페이로드 (컴퓨팅)

위키백과 미디어 타입

위키백과 HTTP 압축