[HTTP][헤더(일반정보,인증,쿠키)]

Header

From 유저 에이전트의 이메일 정보

일반적으로 잘 사용되지 않고 검색엔진같은 곳에서 주로 사용 요청에서 사용

 

Referer : 이전 웹페이지 주소

현재 요청된 페이지의 이전 웨페이지 주소

A->B로 이동하는 경우 B를 요청할 때 Referer : A를 포함해서 요청

Referer를 사용해서 유입 경로 분석 가능 , 요청에서 사용

 

User-agent : 웹브라우저 정보 or 클라이언트 애플리케이션 정보

통계 정보

어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능 , 요청에서 사용

 

Server : 요청을 처리하는 Origin 서버의 소프트웨어 정보 ,즉 내가 원하는 서버( 중간다리 역할(캐시)는 제외)

Server : Apache/2.2.22(Debian)

server : nginx

응답에서 사용

 

Date : 메세지가 발생한 날짜와 시간

응답에서 사용

 

특별한 정보

Host : 요청한 호스트 정보(도메인)

요청에서 사용

필수

하나의 서버가 여러 도메인을 처리해야 할 때

하나의 IP 주소에 여러 도메인이 적용되어 있을 때

 

Location : 페이지 리다이렉션

웹브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location위치로 자동 이동(리다이렉션)

응답코드 3xx에서 설명

201(Created) : Location값은 요청에 의해 생성된 리소스 URI

3xx(Redirection) : Location 값은 요청을 자동으로 리다이렉션하기 위한 대상 리소스를 가리킴

 

Allow : 허용가능한 HTTP 메서드

405(Method Not allowed) 에서 응답에 포함해야함

Allow : GET , HEAD, PUT

 

Retry-After : 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

503(Service Unavailable) : 서비스가 언제까지 불능인지 알려줄 수 있음

Retry-After : 날짜 표기

Retry-After : 120(초단위표기)

 

인증

Authorization : 클라이언트 인증 정보를 서버에 전달

-Authorization : Basic xxxxxxxxxxx

 

WWW-Authenticate : 리소스 접근시 필요한 인증 방법 정의

리소스 접근시 필요한 인증 방법 정의

401 Unauthorized 응답과 함께 사용

WWW-Authenticate : Newauth realm="apps",type=1, title="Login to \"apps\", Baasic realm="simple"

 

쿠키

Set-cookie : 서버에서 클라잉너트로 쿠기 전달(응답)

Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

쿠키 미사용(로그인 이후 welcome 페이지 접근)

처음 웹페이지에 접근할땐  > 서버에서 안녕하세요 손님

로그인 시 > 홍길동님이 로그인했습니다

로그인 후 웹페이지 접근 > 안녕하세요 손님

서버입장에선 누가보냇는지 알수 없기 때문에, 정보를 반환하지 않고 손님(기본값)을 반환함 HTTP는 전송하고 난 후 연결을 끊어버림 

-HTTP는 무상태(Stateless) 프로토콜이다

-클라이언트와 서버가 요청과 응답을 주고 받은면 연결이 끊어진다.

-클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다

-클라이언트와 서버는 서로 상태를 유지하지 않는다.

대안 - 모든 요청에 사용자 정보를 포함 but 모든 요청과 링크에 사용자 정보를 포함하면 보안에도 문제가 있고 개발도 힘듦

 

쿠키도입시

로그인을 하면 서버에서 정보를(set-cookie라는 곳에 user = 홍길동 )포함해서 응답하게 되는 데 유저의 쿠키저장소에 정보가 저장이 되고 웹브라우저에서 서버에 요청할때마다 쿠키저장소에있는 쿠키를 찾아서 같이 요청함

예)set-cookie:sessionId=abc123; expires = Sat,26-dec-2022 GMT; path=/; domain=google.com;Secure

사용처

사용자 로그인 세션관리

광고 정보 트래킹

쿠키 정보는 항상 서버에 전송됨

네트워크 트래픽 추가 유발

최소한의 정보만 사용(세션 id,인증토큰)

서버에 전송하지 않고 웹브라우저 내부에 데이터를 저장하고 싶으면 웹스토리지(localStorage, sessionStorage)참고

주의!

보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등)

 

Expire

Expires : GMT기준으로 만료일이 되면 쿠키삭제

max-age : max-age=3600 (3600초) 0이나 음수를 지정하면 쿠키삭제

세션쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지

영속쿠키 : 만료날짜를 입력하면 해당 날짜까지 유지

 

도메인 아무사이트에 들어갈때마다 쿠키가 들어가면안되므로 도메인을 지정해서 원하는곳에만 쿠키가 들어가게끔 쿠키는 도메인을 지정할수 있음.

예)domain=example.org를 지정해서 쿠키 생성

명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함

domain = example.org를 지정해서 쿠키 생성

example.org는 물론이고 dev.example.org도 쿠키 접근

생략 : 현재 문서 기준 도메인만 적용

example.org에서 쿠키를 생성하고 domain 지정을 생략

example.org에서만 쿠키접근

dev.example.org는 쿠키 미접근

 

경로

예)path = /home

이 경로를 포함한 하위 경로 페이지만 쿠키 접근

일반적으로 path=/ 루트로 지정

예)path=/home 지정

/home > 가능

/home/level1 > 가능

/home/level1/level2 > 가능

/hello > 불가능

 

보안(Secure, httpOnly, sameSite)

Secure 

쿠키는 http, hhtps 구분하지 않고 전송

secure를 적용하면 https인 경우에만 전송

HttpOnly

xss공격방지

자바스크립트에서 접근 불가

HTTP 전송에만 사용

SameSite

XSRF 공격방지

요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송