HTTP Response 헤더 샘플

크롬 https://www.google.com


-       alt-svc: alternative service. 해당 리소스가 다른 프로토콜/호스트/포트 조합으로 접근이 가능할 때 다른 서비스가 가능하다고 알림.

n  대체 서비스가 새로 생성된 이후의 max-age30(2592000)이고 기본값은 24시간이다.

n  현재 서버가 QUIC 프로토콜를 지원하며, 클라이언트에서 QUIC 통신이 가능하면 UDP:443 포트를 사용하라고 알림. v 파라미터는 quic 지원 버전을 의미

-       Cache-control: private는 단일 사용자를 위한 응답으로서, 캐시가 공유 캐시에 저장되지 않고, 사설 캐시에서는 저장이 가능하다는 의미. max-age보다 오래된 캐시는 보내지 않으며 0일 경우 항상 새로 요청한다.

-       Content-encoding: 본문의 미디어 타입에 적용되는 추가적인 인코딩을 의미. brBrotli 알고리즘

-       Content-Type: 본문의 컨텐츠 타입을 MIME 형식으로 나타낸 것. 텍스트 형식의 html 문서 타입을 나타내고 있고, 문자 인코딩은 UTF-8을 사용한다.

-       date: 메시지가 생성된 날짜와 시간

-       expires: 응답 메시지가 최신이 아니라고 판단할 날짜와 시간을 표시. Cache-control 헤더가 메시지에 포함되어 있으면 expires 헤더는 무시된다. 0, -1 등 유효한 날짜 표시형식이 아닐경우, 만료된 것으로 판단.

-       Server: 요청을 처리하는 오리진 서버의 소프트웨어 정보. Gws는 구글 웹 서버

-       Set-cookie: 서버에서 클라이언트로 보내는 쿠키 정보. -값 쌍으로 구분한다. 1p_jar는 구글 광고 쿠키로, 사용자 추적 및 광고 타게팅 목적의 쿠키이다.

-       Status: 요청에 대한 상태코드로, 200은 요청이 정상적으로 작동했음을 의미

-       Strict-transport-security: max-age 만큼 설정된 시간동안 해당 응답을 받은 사이트에 대해서 클라언트는 https 접속을 강제한다.

-       X-frame-options: clickjacking 문제를 해결하기 위해 사용되며, 페이지를 표시하는 프레임(iframe, frame)을 어떻게 사용할 것인가에 대해 명시. Same origin은 페이지에 프레임을 사용할 수 있지만, 같은 원본 서버의 페이지만 가능하다는 뜻.

-       X-xss-protection: xss 공격 시도 시 브라우저의 내장 필터를 통해 방지 하는 헤더. Cross site scriptingHTTP 관련 취약점 공격으로, 페이지, 메일 등에 악성 스크립트를 삽입하여 비정상적으로 페이지를 로드해, 사용자를 방해하거나 쿠키, 개인 정보 등을 특정 사이트로 전송하는 방법.



크롬 브라우저 HTTP Header 샘플 - https://www.google.com


-       콜론으로 시작하는 헤더들은 HTTP/2에서 사용되는 가상 헤더(Pseudo or Virtual)이다. authority는 해당 URI의 권한을 가진 도메인을 명시한다.
요청 메소드는 GET, 경로는 ‘/’, https 프로토콜을 사용한다.

-       accept 요청 헤더는 클라이언트가 사용 가능한 MIME Type들이 나열되며, 서버로부터 받을 Content-Type 협상에 사용된다.

-       ‘;’으로 구분된 q 값들은, quality value라 하며, 우선순위 가중치를 숫자로 명시하지만 절대적인 값은 아니다.

-       accept-encoding: 클라이언트가 이해 가능한 컨텐츠의 압축 알고리즘.

-       cache-control: 캐시 제어를 위한 헤더. max-age에 지정된 시간보다 오래된 캐시는 보내지 않고, 0으로 지정 시 항상 새로 요청한다. no-cache의 경우 캐시를 하지 않고 모든 것을 새로 요청한다.

-       cookie: 서버로부터 이전에 저장된 쿠키 정보들을 나열. 세션과 관련된 정보들로 구성. NID는 브라우저에서 사용되는 고유 ID 환경설정 쿠키로 사용자 관련 정보를 기억하기 위해 사용한다.

-       upgrade-insecure-requests: 보안 URL(HTTPS)이 아닌 일반 HTTP 요청을 HTTPS를 통해 응답을 받은 것처럼 처리하도록 설정하는 헤더

-       user-agent: 클라이언트의 소프트웨어, 운영체제 등의 정보 명시.
HTTP 요청 헤더에서 user-agent의 항목이 Mozilla로 시작하고 비슷하게 나열되는 이유는 초기 웹에서 브라우저마다 컨텐츠를 다르게 다루었기 때문에 이를 방지하기 위해 스푸핑/클로킹을 하는 것이다.

-       x-client-data: googleweblight.com에서 사용되는 실험용 헤더


저작자표시 비영리 변경금지

'System Engineering > Network' 카테고리의 다른 글

HTTP Header Sample Analysis - www.ebay.com  (0) 2018.07.24
HTTP Header Sample Analysis - www.amazon.com  (0) 2018.07.24
HTTP - 9. CORS  (0) 2018.07.24
HTTP - 8. Cache  (0) 2018.07.24
HTTP - 7. Authentication  (0) 2018.07.24

+ Recent posts

티스토리툴바