HTTP 웹 지식 - HTTP 헤더1 (일반 헤더)

📌 김영한 님의 "모든 개발자를 위한 HTTP 웹 기본 지식" 강의 듣고 정리

 

📍HTTP 헤더 개요

• HTTP 헤더 구조
   

  - 요청 메시지

  start-line 시작 라인	GET /search?q=hello&hl=ko HTTP/1.1
  header 헤더	Host: www.google.com
  empty line 공백 라인 (CRLF)
  message body

  시작 라인 :

  method	SP(공백)	request-target	SP(공백)	HTTP-version	CRLF(엔터)
  GET		/search?q=hello&hl=ko		HTTP/1.1

  HTTP 헤더 :

  field-name:	OWS(띄어쓰기 허용)	field-value	OWS(띄어쓰기 허용)
  Host:		www.google.com

  ---

  - 응답 메시지

  start-line 시작 라인	HTTP/1.1 200 OK
  header 헤더	Content-Type: text/html;charset=UTF-8 Content-Length: 3423
  empty line 공백 라인 (CRLF)
  message body	<html>     <body>...</body> </html>

  시작 라인 :

  HTTP-version	SP(공백)	status-code	SP(공백)	reason-phrase	CRLF
  HTTP/1.1		200		OK

  HTTP 헤더 :

  field-name:	OWS(띄어쓰기 허용)	field-value	OWS(띄어쓰기 허용)
  Content-Type: Content-Length:		text/html;charset=UTF-8 3423

• HTTP 헤더의 용도
  • HTTP 전송에 필요한 모든 부가정보
    ex) 메시지 바디의 내용, 메시지 바디의 크기, 압축, 인증, 요청 클라이언트, 서버 정보, 캐시 관리 정보 등
  • 표준 헤더가 너무 많음
  • 필요시 임의 헤더 추가 가능   
• HTTP 헤더의 분류 : 
  • 1999년 RFC2616 등장 (폐기됨)   RFC2616 과거 : https://www.rfc-editor.org/rfc/rfc2616
    
    ✅ 과거에는 헤더를 크게 4가지로 분류
    
    
    - General 헤더 : 메세지 전체에 적용되는 정보     ex) Connection: close
    - Request 헤더 : 요청 정보                                   ex) User-Agent: Mozilla/5.0 (Macintosh; ..)
    - Response 헤더 : 응답 정보                                ex) Server: Apache
    - Entity 헤더: 엔티티 바디 정보                             ex) Content-Type: text/html, Content-Length:3423
    
    
    ✅ message Body
    
    

    

    
    - 메시지 본문 (message body)은 엔티티 본문(entity body)을 전달하는 데 사용
    - 엔티티 본문은 요청이나 응답에서 전달할 실제 데이터에 해당한다. 엔티티 본문을 메시지 본문에 담아 전송.
    - 엔티티 헤더는 엔티티 본문의 데이터를 해석할 수 있는 정보 제공
       - 데이터 유형(html, json), 데이터 길이, 압축 정보 등등
    
    
  • 2014년 RFC7230-7235 등장
    - 스펙이 쪼개지면서 다수 개정
    - 엔티티(Entity) 대신 표현(Representation) 요소가 도입 (완전 대응되는 건 X)
    - Representation (표현) = representation Metadata (표현 메타데이터(헤더)) + Representation Data (표현 데이터)
    - 이 REpresentation가 REST API의 RE에 해당
    
    ✅ message Body
    
    

    

    
    - 메시지 본문(message body)을 통해 표현 데이터 전달
    - 메시지 본문 = 페이로드(payload)
    - 요청이나 응답에서 전달할 실제 데이터를 명확하게 표현으로 정의
    - 표현 헤더는 표현 데이터를 해석할 수 있는 정보 제공
       - 데이터 유형(html, json), 데이터 길이, 압축 정보 등등
    - 참고: 표현 헤더는 표현 메타데이터와 페이로드 메시지를 구분해야 하지만, 여기 강의에선 생략

 

---

📍 표현

• 표현 :
  클라이언트와 서버 간에  주고 받을 때는 서로가 이해할 수 있는 무언가로 변환해야한다. 그걸 위해 각자의 데이터를 html, xml, Json 등으로 표현하게 된다. 
  
  
• 표현 헤더 (요청, 응답 둘 다 사용)
  • Content-Type: 표현 데이터의 형식
    - 미디어 타입, 문자 인코딩
    ex) text/html; charset=utf-8    ,    application/json    ,    image/png 등
    
    
  • Content-Encoding: 표현 데이터의 압축 방식
    - 데이터를 송신 측에서 압축 후 인코딩 헤더 추가
    - 데이터를 수신 측에서 인코딩 헤더 정보로 압축 해제
    ex) gzip    ,    deflate    ,    identity (No압축) 등
    
    
  • Content-Language: 표현 데이터의 자연 언어
    - 자연 언어? 인간이 일상적으로 사용하고 있는 언어
    ex) ko    ,    en    ,    en-US  등
    
  • Content-Length: 표현 데이터의 길이
    - 바이트 단위
    - Transfer-Encoding(전송 코딩)을 사용할 때는 Content-Length를 사용하면 안됨
    (전송 코딩 안에 이미 정보가 다 들어 있다.)

 

---

📍콘텐츠 협상

•  협상 (콘텐츠 네고시에이션) :
  클라이언트가 선호하는 표현이 이것이라고 서버에게 요청하는 것.
  서버가 최대한 선호에 맞춰서 보내줄 수 있도록 한다. (못맞춰 줄 수도 있음)
  (협상헤더는 요청시에만 사용)
  • Accept : 클라이언트가 선호하는 미디어 타입 전달
  • Accept-Charset: 클라이언트가 선호하는 문자 인코딩
  • Accept-Encoding: 클라이언트가 선호하는 압축 인코딩 
  • Accept-Language: 클라이언트가 선호하는 자연언어
    - 협상 헤더 없는 경우
    클라이언트 > 서버 : 클라이언트가 한국어 브라우저를 사용해서 서버에 요청 전송
    서버 > 클라이언트 : 클라이언트의 선호 사항을 모름으로 그냥 서버의 기본으로 설정된 언어로 전송
    - 협상 헤더 있는 경우
    클라이언트 > 서버 : 클라이언트가 한국어 브라우저를 사용해서 서버에 요청 전송
    서버 > 클라이언트 : 협상 헤더 Accept-Language: 로 ko(한국어)를 보내면 선호 언어로 전송 (그 언어 지원 경우)
    
    ❓그럼 독일어와 영어를 지원하는 서버에 한국어로 요청했는데... 독일어 보단 영어를 받고 싶다 이럴 때는? 
    그럴 때를 위한게 우선 순위 이다

 

• 협상과 우선순위 
  
  • Quality Values(q) 값 사용
    0~1, 클수록 높은 우선순위에 해당한다 (생략하면 1)
    ex) Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7
    1. ko-KR;q=1 (위에서는 q가 생략됨,ko-KR은 한국사람이 쓰는 한국어) 
    2. ko;q=0.9 (ko는 한국공통어)
    3. en-US;q=0.8 (en-US는 US에서 쓰는 영어)
    4. en:q=0.7 (en는 영어공통어)
  • 구체적인 것이 가장 우선시 한다. 
    ex) Accept: text/*, text/plain, text/plain;format=flowed, */*
    1. 순위: text/plain;format=flowed
    2. 순위: text/plain
    3. 순위: text/*
    4. 순위: */*
  • 구체적인 것을 기준으로 미디어 타입을 맞춘다.
    ex) Accept: text/*;q=0.3, text/html;q=0.7, text/html;level=1, text/html;level=2;q=0.4, */*;q=0.5
    
    

    Media Type	Quality
    text/html;level=1	1
    text/html	0.7
    text/plain	0.3 (text/*에 맞춤)
    image/jpeg	0.5 (*/*에 맞춤)
    text/html;level=2	0.4 (얘는 왜 0.4 인가 하면 위에 text/html;level=2 에 대해서는 구체적인 우선순위가 나와있지만 아래 level=3는 정확히 매칭되는 것이 없어 text/html 의 우선순위에 맞춘 것)
    text/html;level=3	0.7 (text/html 에 맞춤)

---

📍전송 방식

• 단순 전송: 요청하면 응답을 주는 데 Content-Length만 지정해서 콘텐츠를 그냥 주고 받는다. (Content-Length는 message body 전송시 기본인듯하다 분할 전송은 제외)
• 압축 전송: 서버가 콘텐츠를 압축하고 뭘로 압축했는지 정보를 Content-Encoding 헤더도 함께 보낸다. 
• 분할 전송: Transfer-Encoding: chunked, chunk는 덩어리를 의미.
  데이터를 분할해서 보낼거다 라는 표시를 하며 표시된 바이트 (여기서 5, 5, 0 에 해당하는 숫자들)의 Hello 데이터를 먼저 보내고, World를 보내고 \r\n(Enter, 끝이라는 뜻)을 보낸다.
  주의) 분할 전송에서는 Content-Length를 보내면 안된다! Chunk안에 길이 정보 있다. 
  

  

• 범위 전송: Range, Content-Range. 데이터의 범위를 지정해 전송 받을 수 있다.
  파일을 받다가 끊겼을 때 이미 받아진 걸 제외한 걸 받고자 할 때 사용가능

---

📍일반 정보

 

• From: 유저 에이전트의 이메일 정보
  - 일반적으로 사용X, 검색 엔진 같은 곳에서 사용
  - 요청에서 사용
  
  
• Referer: 이전 웹 페이지 주소
  - 현재 요청된 페이지의 이전 웹 페이지 주소
  - A > B로 이동하는 경우 B를 요청할 때 Referer: A 를 포함해서 요청한다.
  - Referer을 사용해 유입 경로 분석 가능하다.
  - 요청에서 사용
  - 😯❓황당하게도 Referer은 Referrer의 오타인데 이미 너무 많이 사용해서 그대로 사용하는 거라고
  
  
• User-Agent: 유저 에이전트 애플리케이션 정보
  - ex) user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
  - 클라이언트의 애플리케이션 정보 (웹 브라우저 정보 등)
  - 통계 정보로 사용, 어떤 종류의 브라우저에서 장애가 발생하는 지 파악 가능
  - 요청에서 사용
  
  
• Server: 요청을 처리하는 오리진 서버의 소프트웨어 정보
  (중간의 정보가 거치는 서버들이 아니라 정보를 처리하는 끝점에 있는 서버를 오리진 서버라고 한다.)
  - ex) Server: Apach/2.2.22 (Debian)
  - ex) server: nginx
  - 응답에서 사용
  
  
• Date: 메시지가 생성된 날짜 
  - ex) Date: Tue, 15 Nov 1994 08:12:31 GMT
  - 응답에서 사용

---

📍특별한 정보

 

• Host: 요청한 호스트 정보 (도메인)
  - 필수값
  - 요청에서 사용
  - 하나의 서버가 여러 도메인을 처리해야 할 때, 하나의 IP 주소에 여러 도메인이 적용되어 있을 때 
  (가상호스트를 통해 서버에 여러 애플리케이션 여러개가 구동 중일 경우 클라이언트에서 어느 도메인으로 데이터가 가야할지 모르기 때문에 이를 통해 구분) ? 포트랑 어떻게 다르지? TCP/IP는 IP로만 통신? 포트는?
  
  
• Location: 페이지 리다이렉션
  - 웹 브라우저 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동(리다이렉트)
  - 201 (Created): Location 값은 요청에 의해 생성된 리소스 URI로 응답시 함께 전달
  - 3xx (Redirection): Location 값은 요청을 자동으로 리다이렉션하기 위한 대상 리소스를 가르킴
  
  
• Allow: 허용 가능한 HTTP 메서드
  - 405 (Method Not Allowed) 에서 응답에 포함해야함
  - Allow: GET, HEAD, PUT
  - ex) 만약 경로가 존재하고 GET, HEAD, PUT만을 허용하는데 POST로 요청한 경우 위와 같이 응답
  
  
• Retry-After: 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간
  - 503 (Service Unavailavble): 서비스가 언제까지 불능인지 알려줄 수 있음
  - ex) Retry-Ater: Fri, 31 Dec 1999 23:59:59 GMT (날짜 표기)
  - ex) Retry-Ater: 120 (초단위 표기) 

---

📍인증

 

• Authorization: 클라이언트 인증 정보를 서버에 전달
  - ex) Authorization: Basic xxxxxxxxxxxxxxx
  - 다양한 인증 메커니즘 마다 value가 달라짐
  
  
• WWW-Authenticate: 리소스 접근시 필요한 인증 방법 정의
  - 접근시 인증이 안됬거나 문제시 401 Unauthorized 응답과 함께 사용,
    아래처럼 필요한 인증 정보의 예시를 함께 보내준다.
  - WWW-Authenticate: Newauth realm="apps", type=1, title="Login to \"apps\"",Basic realm="simple"

---

📍쿠키

 

• Set-Cookie: 서버에서 클라이언트로 쿠키 전달 (응답)
• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

* 쿠키 등장

HTTP는 무상태 프로토콜이다. 요청과 응답을 받고 나면 끊어져 서로 상태를 유지하지 않기 때문에 로그인 한 상대라는 걸 알 수 있는 방법이 서버에겐 없다.

하지만 로그인 상태를 유지해야한다면 대안은?

• 모든 요청에 사용자 정보를 포함해서 전송
  - 보안문제부터 데이터 전송량이 늘고, 개발 어려움 등의 다양한 문제 발생
  - 브라우저를 완전히 종료하고 다시 열면 그 땐 또 어떻게 해야하는 지 등의 문제 발생    

이걸 해결하기 위해 쿠키라는 개념이 도입됨

 

* 쿠키 저장과 전달 과정

로그인을 하게 되면 서버에서 Set-Cookie에 로그인 유저 정보를 말아서 보낸다. (왜 만다라는 표현을 할까?) 

웹브라우저는 이를 받아 웹브라우저 안의 쿠키 저장소에 그 정보를 저장해 놓는다. 

이제 웹브라우저는 해당 서버에 요청할 때 마다 쿠키 저장소를 뒤져서 쿠키 값을 가져와 헤더에 Cookie 값으로 전달한다. 

 

* 쿠키는 모든 요청에 쿠키 정보를 자동 포함한다.  

•  하지만 정말 모든 요청에 보내면 이는 또 다른 문제가 발생한다. (따라서 따로 제약하는 방법도 있다)
•  네트워크 트래픽이 추가로 유발되기 때문에 최소한의 정보(세션 ID, 인증토큰 등)만 사용해야 한다.
•  보안에 민감한 데이터는 저장하면 안된다. 
  - 서버에 전송하지 않고 웹 브라우저 내에만 저장하고 싶다면 웹 스토리지 참고

 

* 쿠키의 예시

  ex) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

 

* 쿠키의 사용처

• 사용자 로그인 세션 관리
• 광고 정보 트래킹

* 쿠키의 생명주기

• Set-Cookie: expires= 만료일을 지정 (GMT 기준)
• Set-Cookie: max-age= 초를 설정 (0이나 음수면 쿠키 삭제)
• 만료시간에 따른 쿠키 종류
  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지 

* 쿠키의 도메인

• ex) domain=example.org
• 명시: 명시한 문서 기준 도메인 + 서브 도메인도 포함하여 쿠키 전송 가능
  (O) example.org (O) dev.example.org
• 생략: 현재 문서 기준 도메인만 적용되어 서브 도메인에는 쿠키가 전송되지 않는다.
  (O) example.org (X) dev.example.org

* 쿠키의 경로

• ex) path=/home
• 이 경로를 포함한 하위 경로 페이지만 쿠키 접근 가능
• 일반적으로 path=/ 루트로 지정

* 쿠키의 보안

• Secure
  • 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 전송하면 https인 경우에만 전송
• HttpOnly
  • XSS 공격 방지
  • 자바스크립트에서 접근 불가 (document.cookie)
  • HTTP전송에만 사용
• SameSite
  • XSRF 공격 방지
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송