솜이의 데브로그

6장 ) 쿠키 헤더필드, 기타 헤더필드 본문

CS/Network

6장 ) 쿠키 헤더필드, 기타 헤더필드

somsoming 2021. 10. 31. 18:28

Reference : 그림으로 배우는 Http&Network Basic

 

6.7 쿠키를 위한 헤더 필드

 

  • 쿠키는 서버와 클라이언트 간의 상태를 관리한다.
  • 웹사이트가 유저의 상태를 관리하기 위해 웹 브라우저 경유로 유저의 컴퓨터 상에 일시적으로 데이터를 기록, 다음 유저가 웹 사이트에 액세스 했을 때 지난번에 발행한 쿠키를 송신받는다.
  • 쿠키 호출 시 쿠키의 유효기한과 송신지의 도메인, 경로, 프로토콜 등을 체크.

 

 

쿠키를 위한 헤더 필드

  • Set-Cookie : 상태 관리 개시를 위한 쿠키 정보, 헤더 종별-리스폰스
  • Cookie : 서버에서 수신한 쿠키 종별, 헤더 종별-리퀘스트

 

 

Set-Cookie

서버가 클라이언트에 대해서 상태 관리를 시작할 때 다양한 정보를 전달한다.

ex) NAME, Expires, Path, Domain, Secure, Httponly

 

  • Expires 속성 : 브라우저가 쿠키를 송출할 수 있는 유효 기한을 지정
  • Path 속성 : 쿠키를 송출하는 범위를 특정 디렉토리에 한정할 수 있다.
  • Domain 속성 : 쿠키의 domain 속성에 의해서 지정된 도메인 명은 후방 일치가 된다.
  • Secure 속성 : 웹 페이지가 HTTPS에서 열렸을 때에만 쿠키 송출을 제한하기 위해 지정
    • Set-Cookie : name=value; secure
  • HttpOnly 속성 : 자바스크립트를 경유해서 쿠키를 취득하지 못하도록 하는 쿠키의 확장 기능. 크로스 사이트 스크립팅으로부터 쿠키의 도청을 막는 것을 목적으로 한다.
    • Set-Cookie: name=value; HttpOnly

 

 

Cookie

클라이언트가 HTTP의 상태 관리 지원을 원할 때 서버로부터 수신한 쿠키를 이후의 리퀘스트에 포함해서 전달한다.

 

 

 

6.8 그 이외의 헤더 필드

 

HTTP 헤더필드는 독자적으로 확장할 수 있다. 따라서 웹 서버와 브라우저의 기능에 다양한 독자적인 헤더필드가 존재한다.

 

X-frame-Option

  • 다른 웹사이트의 프레임에서 표시를 제어하는 HTTP 리스폰스 헤더로, 클릭 재킹이라는 공격을 막는 것을 목적으로 한다.
  • Deny, SameOrigin 의 값으로 지정할 수 있다.
  • 모든 웹 서버에서 설정해두는 것이 바랍직하다.

 

X-XSS-Protection

  • 크로스 사이트 스크립팅(XSS) 대책으로서 브라우저의 XSS 보호 기능을 제어하는 헤더이다.
  • 0 : 필터를 무효로함, 1: 필터를 유효로 함

 

DNT

  • Do Not Track 라는 뜻이며 개인 정보 수집을 거부하는 의사를 나타내는 HTTP 리퀘스트 헤더이다.
  • 0 : 트래킹 동의, 1: 트래킹 거부
  • 타깃 광고 등에 이용되는 트래킹의 거부 의사를 나타내기 위한 방법 중 하나

 

P3P

  • 웹 사이트 상의 프라이버시 정책에 P3P를 사용
    • 수순 1 : P3P 정책 작성
    • 수순 2 : P3P 정책 참조파일을 작성해서 배치
    • 수순 3 : P3P 정책으로부터 콤팩트 정책을 작성하고 HTTP 리스폰스 헤더에 출력

'CS > Network' 카테고리의 다른 글

7장 ) 웹을 안전하게 하는 HTTPS  (0) 2021.11.01
9장 ) 무선 랜 통신  (0) 2021.11.01
8장 ) 네트워크 전체 흐름  (0) 2021.10.31
6장 ) 리스폰스 헤더필드, 엔티티 헤더필드  (0) 2021.10.28
7장 ) 응용 계층  (0) 2021.10.28