[HTTP] HTTP 헤더

HTTP 헤더 1

엔티티(Entitiy) 용어가 사라지고 ⇒ 표현(Representation) 이라고 불린다.

표현

• 표현은 요청이나 응답에서 전달할 실제 데이터를 말함
  • 데이터 유형(html, json), 데이터 길이 , 압축 정보 등등

종류

• Content-Type : 표현 데이터의 형식 설명
  • application/json , image/png
• Content-Encoding : 표현 데이터 인코딩
  • 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축을 해제
  • gzip, deflae, identity
• Content-Language : 표현 데이터의 자연 언어
  • Content-Language: en → 영어
  • Content-Language: ko → 한국어
• Content-Length : 표현 데이터 길이
  • Transfer-Encoding(전송 코딩 )을 사용하면 Content-Length를 사용하면 안됨

 

협상

• 협상 헤더는 요청시에만 사용 한다.
• Accept: 클라이언트가 원하는 미디어 타입 전달
• Accept-Charset: 클라이언트가 원하는 문자 인코딩
• Accept-Encoding: 클라이언트가 원하는 압축 인코딩
• Accept-Language: 클라이언트가 원하는 자연 언어

협상과 우선순위

• Quality Values(q) 값 사용
• 0~1, 클수록 높은 우선순위

• ko-KR;q=1 (q생략)
• ko;q=0.9
• en-US;q=0.8
• en;q=0.7

• 구체적인 것 우선

 

전송 방식

• 단순 전송
  • 단순히 그냥 전송
• 압축 전송
  • Content-Encoding: gzip을 통해 압축 후 전송
• 분할 전송
  • Transfer-Encoding : chunked 덩어리로 쪼개서 전송
• 범위 전송
  • Content-Range 범위 설정해서 보낸다.

일반 정보

• From : 유저 에이전트의 이메일 주소
• referer : 현재 요청된 페이지의 이전 웹 페이지 주소 (referrer의 오타인데 상용화됨)
• User-Agent : 클라이언트의 애플리케이션 정보 ex) user-agent: Mozilla/5.0~~~
• Server : 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
• Date : 메시지가 발생한 날짜와 시간

특별한 정보

• Host : 요청한 호스트 정보(도메인)
  • 필수헤더
• Location : 페이지 리다이렉션
  • 3xx의 Location헤더가 있으면 그 위치로 리다이렉션
• Allow : 허용 가능한 HTTP 메서드
  • Allow : GET, HEAD, PUT 세 개만 지원함
• Retry-After : 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

인증

• Authorization : 클라이언트 인증 정보를 서버에 전달
• WWW-Authenticate : 리소스 접근시 필요한 인증 방법 정의

쿠키

• Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답)
• Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

• 사용처
  • 사용자 로그인 세션 관리
  • 광고 정보 트래킹
• 쿠키 정보는 항상 서버에 전송됨
  • 네트워크 트래픽 추가 유발
  • 서버에 전송하지 않고, 웹 브라우저에 데이터를 저장하고 싶으면 웹 스토리지 사용
• 종류
  • 세션 쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

 

쿠키 - 보안

• Secure
  • 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 적용하면 https인 경우에만 전송
• HTTPOnly
  • XSS (Cross-Site Scripting) 공격 방지 : 정보를 가로채는 공격
  • 자바스크립트에서 접근 불가
  • HTTP 전송에만 사용
• SameSite
  • XSRF(Cross-site Request Forgery) 공격 방지 : 사용자가 자신의 의지와 무관하게 특정웹사이트에 요청하게 하는 공격
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

HTTP 헤더 2

 

캐시

데이터나 값을 미리 복사해 놓는 임시 장소

60초동안 유지되는 이미지 파일을 브라우저 캐시에 저장하여 다음 호출 때(60초안으로)는 네트워크를 탈 필요가 없이 브라우저 캐시에서 조회한다.

 

장점

• 캐시 가능 시간 동안 네트워크를 사용하지 않아도 된다.
• 비싼 네트워크 사용량을 줄인다.
• 브라우저 로딩 속도가 매우 빠르다.
• 빠른 사용자 경험

 

캐시 시간초과

• 캐시 유효시간이 초과하면 서버를 통해 데이터를 다시 조회하고, 캐시를 갱신한다.
• 이때 다시 네트워크 다운로드가 발생한다.
  • 서버에서 데이터가 변경되지 않았다면 저장해두었던 캐시를 재사용 할 수 있다.
    • 단, 클라이언트의 데이터와 서버의 데이터가 같다는 사실을 확인할 방법이 필요함
    • Last-Modified: 2020년 11월 10일 10:00:00을 이용한다.
      1. 캐시 시간초과가 되어 데이터를 요청
      2. 데이터 최종 수정일인 2020년 11월 10일 10:00:00 이 내용을 캐시에서 찾아서 서버에 요청
      3. 캐시는 자신의 데이터 최종 수정일과 비교하여 같은지 다른지 판단
      4. 같으면 304 Not Modified로 응답한다 이때 body가 없고 용량이 적은 헤더만 전달
      5. 클라이언트는 서버에서 헤더를 받아 브라우저 캐시에서 원래 데이터를 그대로 사용

단점

• 1초 미만 단위로 캐시 조정이 불가능
• 데이터를 수정해서 날짜가 다르지만, 같은 데이터를 수정해서 데이터 결과가 똑같은 경우
• 서버에서 별도의 캐시 로직을 관리하고 싶은 경우
  • ex) 스페이스나 주석처럼 크게 영향이 없는 변경에서 캐시를 유지하고 싶은 경우

⇒ ETag를 사용하여 해결

• ETag (Entitiy Tag)
  • 캐시용 데이터에 임의의 고유한 버전 이름을 달아둔다.
    • ETag: “v1.0” , ETag: “2ajiodwjekjl3”
  • 데이터가 변경되면 이 이름을 바꾸어서 변경한다. (Hash 를 다시 생성)
  • 단순하게 ETag만 보내서 같으면 유지, 다르면 다시 받기!
  • 캐시 제어 로직을 서버에서 완전히 관리한다.

 

 

캐시 제어 헤더

• Cache-Control : 캐시 지시어(directives)
  • Cache-Control : max-age
    • 캐시 유효 시간, 초 단위
  • Cache-Control : no-cache
    • 데이터는 캐시해도 되지만, 항상 원(origin) 서버에 검증하고 사용
  • Cache-Control : no-store
    • 데이터에 민감한 정보가 있으므로 저장하면 안된다. (메모리에서 사용하고 최대한 빨리 삭제)
• Pragma : 캐시 제어 (거의 사용 x)
• Expire : 캐시유효기간
  • 캐시 만료일을 정확한 날짜로 지정
  • 지금은 Cache-Control : max-age 권장

 

 

정리

• 검증 헤더
  • ETag, Last_Modified
• 조건부 요청 헤더
  • If-Match, If-None-Match: ETag 값 사용
  • If-Modified-Since, If-Unmodified-Since: Last-Modified 값 사용

 

---

 

 

 

프록시 캐시

Cache-Control

• Cache-Control: public
  • 응답이 public 캐시에 저장되어도 됨
• Cache-Control: private(기본값)
  • 응답이 해당 사용자만을 위한 것, private 캐시에 저장해야 함
• Cache-Control: s-maxage
  • 프로식 캐시에만 적용되는 max-age
• Age:60
  • 오리진 서버에서 응답 후 프록시 캐시 내에 머문 시간(초)

 

캐시 무효화

확실한 캐시 무효화 응답

• Cache-Control: no-cache, no-store, must-revalidate
• Pragma: no-cache
  • HTTP 1.0 하위 호환해서 적용은 가능 (과거 브라우저에서 올 수도 있기 때문)