“김영한” 님의 인프런 강의 “모든 개발자를 위한 HTTP 웹 기본 지식”을 듣고 정리한 글입니다.

HTTP 헤더1 - 일반 헤더

1. 개요

  • HTTP 전송에 필요한 모든 부가정보 (매우 많음)
  • 표현
    • 표현 = 표현 메타데이터(헤더) + 표현 데이터
      표현은 요청이나 응답에서 전달할 실제 데이터
      (리소스를 html, json 등으로 ‘표현’하여 전달한다는 의미)
    • 표현 헤더는 표현 데이터를 해석할 수 있는 정보 제공
    • 메시지 본문(= 페이로드)를 통해 표현 데이터 전달

2. 표현

  • Content-type: 표현 데이터의 형식
    • Content-Encoding: 표현 데이터의 압축 방식
    • Content-Language: 표현 데이터의 자연 언어
    • Content-Length: 표현 데이터의 길이
    • 표현 헤더는 전송, 응답 둘 다 사용

3. 콘텐츠 협상

  • 클라이언트가 선호하는 표현을 요청 (요청 시에만 사용)
    • Accept: 선호하는 미디어 타입 전달
    • Accept-Charset: 선호하는 문자 인코딩
    • Accept-Encoding: 선호하는 압축 인코딩
    • Accept-Language: 선호하는 자연 언어
    • 서버가 요청받은 표현을 주지 못할 수 있다.

  • 우선순위1
    • Quality Values(q) 값 사용
    • 0~1, 클수록 높은 우선순위
    • 생략하면 1
  • 우선순위2
    • 구체적인 것이 우선한다.
  • 우선순위3
    • 구체적인 것을 기준으로 미디어 타입을 맞춘다.

4. 전송 방식

  • 단순 전송
  • 압축 전송
  • 분할 전송
    • Content의 크기가 매우 클 때
    • Transfer-Encoding: chunked
  • 범위 전송
    • 범위를 지정해서 전송받을 수 있다

5. 일반 정보

  • From
    • 유저 에이전트의 이메일 정보
  • Referer
    • 이전 웹 페이지 주소 (자주 사용)
    • 유입 경로 분석 가능
  • User-Agent
    • 클라이언트의 애플리케이션 정보(웹 브라우저 등)
    • 통계 정보
  • Server
    • 요청을 처리하는 ORIGIN 서버(진짜 서버)의 정보
  • Date
    • 메시지가 생성된 날짜

6. 특별한 정보

  • Host (중요)
    • 요청에서 사용 (필수)
    • 하나의 서버가 여러 도메인을 처리해야 할 때
    • 하나의 IP 주소에 여러 도메인이 적용되어 있을 때
    • 호스트 정보(도메인)
  • Location
    • 리다이렉션과 관련
    • 201(Created)
    • 3xx(Redirection)
  • Allow
    • 허용 가능한 HTTP 메서드
    • 405(Method Not Allowed)에서 응답에 포함
  • Retry-After
    • 클라이언트가 다음 요청을 하기까지 기다려야 하는 시간
    • 503: 서비스가 언제까지 불능인가? (날짜 또는 초)

7. 인증

  • Authorization
    • 클라이언트 인증 정보를 서버에 전달
  • WWW-Authenticate
    • 리소스 접근 시 필요한 인증 방법 정의
    • 401(Unauthorized)에서 사용

8. 쿠키

  • Set-Cookie
    서버에서 클라이언트로 쿠키 전달(응답)
  • Cookie
    클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달.
    모든 요청에 쿠키 정보를 자동으로 포함한다. (항상 서버로 전달)
  • 용도
    • 사용자 로그인 세션 관리
    • 광고 정보 트래킹
  • 단점
    • 네트워크 트래픽 추가 유발
    • 최소한의 정보만 사용(세션 id, 인증 토큰)
    • 보안에 민감한 데이터는 절대 저장하면 안 됨
  • 생명주기
    • expires, max-age
    • 세션 쿠키: 만료 날짜 생략. 브라우저 종료 전까지만 유지
    • 영속 쿠키: 만료 날짜 존재. 해당 날짜까지 유지.
  • 도메인
    • 명시: 명시한 문서 기준 도메인 + 서브 도메인 접근 가능
    • 생략: 현재 문서 기준 도메인만 가능 (서브 도메인 불가)
  • 경로
    • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
    • 일반적으로 ‘path=/루트’로 지정한다.
  • 보안
    • Secure
      쿠키는 http, https 모두 전송 가능.
      그러나 Secure을 적용하면 https인 경우만 전송
    • HttpOnly
      XSS 공격 방지
      자바스크립트에서 접근 불가(document.cookie)
      HTTP 전송에만 사용함
    • SameSite
      XSRF 공격 방지
      요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 전송 가능
  • 웹 스토리지
    서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶은 경우
    로컬, 세션 스토리지

참고자료

모든 개발자를 위한 HTTP 웹 기본 지식 - 인프런 | 강의