HTTP 표현 헤더

request message

• message body(페이로드)를 통해 표현 데이터 전달합니다.
• 표현 데이터는 요청이나 응답에서 전달할 실제 데이터
• 표현 헤더는 표현 데이터를 해석할 수 있는 정보를 제공
• 해석 정보 -> 데이터 유형, 데이터 길이, 압축 정보 등

참고 : 표현 헤더는 표현 메타 데이터와, 페이로드 메시지를 구분해야 하지만, 여기서는 생략하겠습니다.

 

표현 헤더의 표현

> Content Type : 표현 데이터의 형식

> Content-Length : 표현 데이터의 길이

> Content-Encoding : 표현 데이터의 압축 방식

> Content-Language : 표현 데이터의 자연 언어

 

>> 표현 헤더는 요청(request), 응답(response) 둘다 사용

 

Content Type (표현 데이터 형식 설명) 

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8 
Content-Length: 3423

<html> <body>...</body>
</html>

> 미디어 타입, 문자 인코딩 

ex) text/html; charset=utf-8

ex) application/json

ex) image/png

 

Content-Length (표현 데이터의 길이)

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8 Content-Length: 5

hello

> 바이트 단위

> Transfer-Encoding(분할 전송) 을 사용하면 Content-Length를 사용하면 안됨. ... 밑에서 자세히 설명

 

Content-Encoding (표현 데이터 인코딩)

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8 
Content-Encoding: gzip 
Content-Length: 521

lkj123kljoiasudlkjaweioluywlnfdo912u34lj ko98udjkl

> 표현 데이터를 압축하기 위해 사용

> 데이터를 전달하는 곳에서 압축후 인코딩 헤더 추가

> 데이터를 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제

ex) gzie, deflate, identity

 

Content-Language(표현 데이터의 자연언어)

표현 데이터의 자연 언어를 표현

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Content-Language: ko
Content-Length: 521

<html> 안녕하세요.
</html>

  

Content Negotiation (콘텐츠 네고시에이션)

클라이언트가 선호하는 표현 request 

클라이언트가 원하는 우선적인 타입이나 인코딩방식, 압축방식, 언어를 서버에 요청할 수 있어요.

• Accept : 클라이언트가 선호하는 미디어 타입 전달
• Accept-charset : 클라이언트가 선호하는 문자 인코딩
• Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
• Accept-Language : 클라이언트가 선호하는 자연 언어

협상 헤더는 Request할 때만 사용합니다.

 

GET /event
Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7

q(0~1)값을 사용해서 우선순위를 정할 수 있습니다.

생략하면 1

GET /event
Accept: text/*, text/plain, text/plain;format=flowed, */*

q값을 설정하지 않으면 구체적인 것을 기준으로 우선합니다

우선순위

1. text/*

2. text/plain

3. text/plain;format=flowed

4. */*

 

---

HTTP - 전송 방식 헤더 

Content-Length(단순 전송)

Content-Length만 담아서 Response 메시지를 보내면 단순 전송입니다.

❗️그냥 단순하게 message body를 보낸다고 생각하시면 됩니다.

 

Transfer-Encoding(분할 전송)

보낼 message body를 나눠서 전송하는 방식입니다.

❗️파라미터로 Transfer-Encoding이 들어갑니다.

ex) Transfer-Encoding : chunked

❗️이 떄는 Content-Length를 사용하면 안됩니다.

 

Range, Content-Encoding(범위 전송)

❗️ 파라미터로 Content-Range 가 들어갑니다.

ex) Content-Range : bytes 1001-2000 / 2000

전체를 전송하는게 아니라 데이터의 일정 부분만 범위로 지정해서 request할 수 있습니다.

 

Content-Encoding(압축 전송)

보낼 message body를 압축해서 보내는 방식입니다.

❗️파라미터로  Content-Encoding이 들어갑니다.

ex) Content-Encoding : gzip

클라이언트는 response message의 Content-Encoding을 보고 어떤 방식으로 압축을 해제해야 할 지 알 수 있습니다.

---

HTTP - 정보성 헤더 (일반)

From : 유저 에이전트의 이메일 정보

• 일반적으로 잘 사용 X
• 검색 엔진 같은 곳에서, 주로 사용

Referer : 이전 웹 페이지 주소

• 현재 요청된 페이지의 이전 웹 페이지 주소
• A->B로 이동하는 경우 B를 요청할 때 Referer: A를 포함해서 요청
• request에서 사용

Referer을 사용해서 유입 경로 분석 가능

User-Agent : 유저 에이전트 애플리케이션 정보

• user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/ 537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
• 클라이언트의 애플리케이션 정보(웹 브라우저 정보 등등)
• request에서 사용
• 어떤 종류의 브라우저에서 장애가 발생하는지 파악할 수 있습니다.

Server : 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

• Server: Apache/2.2.22 (Debian)
• server: nginx
• response(응답)에서 사용

Date : 메시지가 발생한 날짜/시간

• Date: Tue, 15 Nov 1994 08:12:31 GMT
• 응답에서 사용

 

---

HTTP - 정보성 헤더(특수)

Host : 요청한 호스트 정보(도메인)

하나의 서버가 여러 도메인을 처리할 때에 사용합니다.

만약 서버 하나가 여러가지의 도메인을 관리할 때, 클라이언트가 서버에 연결 요청을 하면 서버는 클라이언트에게 무슨 도메인에 연결해주어야 할 지 알 수 없습니다.

클라이언트가 Host에 원하는 도메인을 담아서 보내면 이 문제를 해결할 수 있습니다. 

Location: 페이지 리다이렉션

웹 브라우저는 3xx응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 리다이렉트

Location 값은 리다이렉션 하기 위한 대상 리소스를 가리킵니다.

 

Allow: 허용 가능한 HTTP 메서드

405 (Method Not Allowed) 에서 response에 포함해야 합니다.

상태코드 405는 메소드 매칭이 되지 않아 생기는 오류입니다.

ex) 서버는 GET,HEAD,PUT만 지원할 때, 클라이언트가 POST를 요청했을 때에

request 메시지의 헤더에 Allow : GET, HEAD, PUT

Retry-After: 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

503(Service Unavailable) 상태코드에서 서비스가 언제까지 사용 불가능인지 알려주기 위한 request message header

ex) Retry-After: Fri, 31 Dec 1999 23:59:59 GMT (날짜 표기)

---

HTTP - 인증성 헤더

Autorization

클라이언트 인증 정보를 담아 서버에 전달 / 주로 요청 메시지에 사용됨

WWW-Authenticate

401 Unauthorized 응답 메시지와 함께 사용되고, 리소스 접근 시 필요한 인증 방법 정의

ex) WWW-Authenticate : Newauth realm="apps", type=1, 
title="Login to \"apps\"", Basic realm="simple"

---

HTTP - 쿠키 헤더

HTTP는 stateless 프로토콜이기 때문에 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어집니다.

클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못하기 때문에, 모든 요청에 사용자 정보를 포함해야 합니다.

 

쿠키를 사용하지 않는다면 모든 요청과 링크에 사용자 정보를 포함해야 하겠죠?

이 때 브라우저를 완전히 종료하고 다시 열면 초기화 된다는 문제가 발생합니다. 쿠키를 사용하면 이 문제를 해결할 수 있습니다.

1. 클라이언트가 POST를 통해 login request

2. 서버에서 Set-cookie를 통해 클라이언트로 쿠키를 전달

3. 로그인 이후 welcome 페이지 접근할 때, 쿠키저장소에서 조회해서 유저 정보를 사용

 

 

Set-Cookie : 서버에서 클라이언트로 쿠키 전달(응답)

 

Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly

파라미터

 

1. expires나 max-age를 통해 쿠키 생명주기 설정 가능.

 

2. domain

> 명시한 문서 기준 도메인 + 서브 도메인 포함

ex) domain=example.org 를 지정해서 쿠키 생성 시 

      example.org 물론이고, dev.example.org도 쿠키 접근.

 

ex) 생략 시 현재 문서 기준 도메인만 적용됩니다.

example.org에서 쿠키를 생성하고 domain 지정 생략 시 dev.example.org는 쿠키에 접근할 수 없습니다.

 

3. path 

> 이 경로를 포함한 하위 경로 페이지만 쿠키 접근

 

4. Secure, HttpOnly, SameSite

> Secure를 적용하면 https인 경우에만 쿠키 전달

> HttpOnly는 HTTP 전송에만 쿠키 전달 / xss 공격 방지

> SameSite는 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전달 

 

 

Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달.

• 쿠키 정보는 항상 서버에 전송되기 때문에 네트워크에 추가 트래픽을 유발합니다.
• 따라서 최소한의 정보(세션 id, 인증 토큰)만 사용하는 것이 좋습니다.
• 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고.
• 보안에 민감한 데이터는 저장하면 안됨.