[HTTP] 헤더 / 쿠키 / 캐시

• HTTP 전송에 필요한 모든 부가정보
• 메시지 바디의 내용, 메시지 바디의 크기, 압축, 인증, 요청 클라이언트, 서버 정보, 캐시 관리 정보

일반헤더

표현(표현헤더 + 표현데이터)
표현 헤더는 표현데이터를 해석할 수 있는 정보 제공
표현 헤더는 전송, 응답 둘다 사용

• Content-Type : 표현 데이터 형식, 미디어타입

  • application/json
  • text/html; charset=utf-8

• Content-Encoding : 표현 데이터 인코딩

  • 표현 데이터를 압축하기 위해 사용
  • 전달하는 곳에서 압축 후 인코딩 헤더추가
  • 읽는 쪽에서 인코딩 헤더의 정보로 압축 해제
  • gzip, deflate, identity, br

• Content-Language : 표현 데이터의 자연 언어

  • ko, en, en-US

• Content-Length : 표현 데이터의 길이

  • Transfer-Encoding(전송 코딩)을 사용하면 Content-Length를 사용하면 안됨

협상(콘텐츠 네고시에이션)
클라이언트가 선호하는 표현 요청

• Accept : 클라이언트가 선호하는 미디어 타입 전달
  • 
• Accept-Language : 클라이언트가 선호하는 자연 언어
  • 
• Accept-Encoding : 클라이언트가 선호하는 압축 인코딩
• Accept-Charset: 클라이언트가 선호하는 문자 인코딩

협상 우선순위

• 0~1 클수록 높은 우선순위
• 생략하면 1
• 구체적이 것이 우선한다
  • 1.text/plain;format=flowed
  • 2.text/plain
  • 3.text/*
  • 4.*/
• 구체적인 것을 기준으로 미디어 타입을 맞춘다
  • 

전송방식

• 단순 전송 Content-Length
• 압축 전송 Content-Encoding
• 분할 전송 Transfer-Encoding
  • Content-Length를 사용하면 안됨
• 범위 전송 Range, Content-Range

일반정보

• From : 유저 에이전트의 이메일 정보
  • 검색 엔진 같은곳에서, 주로 사용
• Referer : 이전 웹페이지 주소
  • A -> B 요청할 때 A를 포함해서 요청
  • 
• User-Agent : 유저 에이전트 애플리케이션 정보
  • 
• Server : 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보
  • 최종 끝단 서버
• Date : 메시지가 발생한 날짜와 시간
  • GMT(존맛탱)

특별한정보 !!

• Host : 요청한 호스트 정보(도메인)
  • 요청에서 사용 (필수)
  • 하나의 서버가 여러 도메인을 처리해야 할 때
• Location : 페이지 리다이렉션
  • 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동 (리다이렉트)
• Allow : 허용 가능한 HTTP 메소드
  • 405 에러시 허용가능한 HTTP 메소드 보여줌
• Retry-Afte : 유저 에지전트가 다음 요청을 하기까지 기다려야 하는 시간
  • 503에러시 내보내줌

인증

• Authorization : 클라이언트 인증 정보를 서버에 전달
• WWW-Authenticate : 리소스 접근시 필요한 인증 방법 전달
  • 401 응답과 함께 사용

쿠키
사용자 로그인 세션관리, 광고 정보 트래킹
보안에 민감한 데이터는 저장하면 안됨

• Set-Cookie : 서버에서 클라이언트로 쿠키전달(응답)
• Cookie : 클라이언트가 서버에서 받은 쿠키를 저장하고, Http 요청시 서버로 전달

쿠키

• 최소한의 정보만 사용
• 민감한 데이터는 저장하면 안됨
• 사용자 로그인 세션 관리

쿠키 생명주기

• 세션쿠키 : 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
• 영속쿠키 : 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 도메인

• 명시 : 명시한 문서 기준 도메인 + 서브 도메인 포함
• 생략 : 현재 문서 기준 도메인만 적용

쿠키 경로

• 이 경로를 포함한 하위 경로 페이지만 쿠키 접근

쿠키 보안

• Secure : HTTPS 인 경우에만 전송
• HttpOnly : 자바스크립트에서 접근불가
• SameSite : 요청 도메인과 쿠기에 설정된 도메인이 같은경우만 쿠키 전송

캐시
브라우저 로딩 속도가 매우빠르다
캐시 덕분에 캐시 가능 시간동안 네트워크를 사용하지 않아도 된다.

• cache-control
  • HTTP/1.1에서 추가된 기능으로, 여러 캐싱 정책을 다양하고 제공하고 있다.

_캐시 유효시간이 초과해도, 서버의 데이터가 갱신되지 않으면

• Last-Modified

  • If-Modified-Since
  • 브라우저가 서버로 요청한 파일의 최종 수정 시간을 알려주는 헤더
  • 데이터가 수정되지 않았다면 304Not Modified 응답
  • HTTP Body가 없음
  • 클라이언트는 서바가 보낸 응답 헤더 정보로 캐시의 메타 정보를 갱신
  • 

• Last-Modified 단점

  • 1초 미만 단위로 캐시 조정 불가
  • 데이터를 수정해서 날짜가 다르지만, 같은데이터를 수정해서 결과가 똑같은 경우
  • 서버에서 별도의 캐시로직을 관리하고 싶은경우에는X

• ETag

  • If-None-Match
  • 캐시 데이터와 서버 데이터가 같은지 검증하는 데이터
  • 단순하게 ETag만 보내서 같으면 유지
  • 캐시 제어 로직을 서버에서 완전히 관리
  • 데이터가 수정되지 않았다면 304Not Modified 응답
  • HTTP Body가 없음

• Cache-Control: max-age

  • 캐시 유효 시간, 초 단위

• Cache-Control: no-cache

  • 데이터는 캐시해도 되지만, 항상 원(origin) 서버에 검증하고 사용
  • 원서버 접근실패시 ERROR or 200 예전데이터라도 보여줌

• Cache-Control: no-store

  • 데이터에 민감한 정보가 있으므로 저장하면 안됨
    (메모리에서 사용하고 최대한 빨리 삭제)

• Cache-Control: must-revalidate

  • 캐시 만료후 최초 조회시 원 서버에 검증해야함
  • 원 서버 접근 실패시 반드시 오류가 발생해야함 - 504(Gateway Timeout)

• Cache-Control

  • public : 응답이 public 캐시에 저장되어도 됨
  • private : 응답이 해당 사용자만을 위한 것임, private 캐시에 저장해야 함(기본값)
  • s-maxage : 프록시 캐시에만 적용되는 max-age

• Pragma

  • HTTP 1.0 하위 호환

• Expires

  • 캐시 만료일을 정확한 날짜로 지정
  • HTTP 1.0 부터 사용
  • Cache-Control: max-age와 함께 사용하면 Expires는 무시
  • 

참고자료

• https://www.inflearn.com/course/http-%EC%9B%B9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC/lecture/61382?tab=curriculum&volume=1.00&speed=1.5