[Web] HTTP 기본 개념

2020. 3. 17. 00:56

[Web] HTTP 기본 개념

(1) HTTP (HyperText Transfer Protocol)

인터넷에서는 FTP, Telnet, HTTP, SMTP, POP 등 여러 프로토콜 사용 > 가장 많이 사용하는 프로토콜
문서 간의 상호 연결 > 다양한 텍스트, 그래픽, 애니메이션을 화면에 보여주고, 사운드를 재생해 줌
전 세계의 수많은 정보를 탐색하기 위해 HTTP 이용
RFC 1945 문서 > HTTP는 0.9 버전부터 사용 > 단순히 읽기 기능만 지원

1. 먼저 클라이언트가 웹 브라우저를 이용하여 서버에 연결 요청 > 서버는 요청한 클라이언트에 대한 서비스 준비

2. 클라이언트가 읽고자 하는 문서를 서버에 요청 > 서버는 그 문서를 전달 > 연결 종료

위 그림의 기본 연결은 HTTP 버전에 관계 없이 동일
기능이 많이 부족했던 HTTP 0.9 버전은 오래 사용 X
현재 웹에서 주로 사용하는 HTTP는 1.0과 1.1버전
HTTP 1.0의 메소드는 GET / HEAD / POST 방식 지원
HTTP 1.1의 메소드는 OPTIONS / GET / HEAD / POST / PUT / DELETE / TRACE / CONNECT 방식 지원

1-1. HTTP & HTTPS

HTTP 프로토콜은 데이터가 네트워크 장비 통과 시, 암호화 되지 않은 단순한 TCP 사용 > 네트워크에 잠입한 공격자가 중간에 정보 가로채기 가능
HTTPS(HTTP over Secure Socket Layer)는 애플리케이션 계층 프로토콜 > SSL(Secure Socket Layer)을 이용, 클라이언트와 서버 사이에 주고 받는 정보를 보호하는 데 사용
HTTPS는 공격자가 중간에 스니핑 하기 어렵게 만듦 > 그러나 웹 애플리케이션 해킹의 주요 원인인 사용자 입력 값에 대한 검증 X

1-1-1.Request (웹 서버에 데이터를 요청하는 패킷)

일반적으로 첫 번째 줄에는 다음과 같은 내용이 들어간다.

HTTP 전송 방법 : 웹 서버로부터 자료를 가져오는 기능인 GET 사용 > 별도의 메시지 보기를 필요 X
요청된 URL : 웹 서버 자료 요청 시에 사용하는 경로
HTTP 버전 : 인터넷에서 가장 일반적으로 사용되는 버전은 1.0 / 1.1 > 대부분 브라우저는 초깃값으로 1.1 사용 (1.1은 1.0과 달리 요청이 강제적)

1-1-2. 웹 해킹 관련 요소

서버가 클라이언트에 전송한 인자 값에 추가 정보를 보낼 때 사용

URL 주소에 나타난 호스트명을 자세하게 나타내기 위해 사용

URL 주소에 나타난 호스트명을 자세하게 나타내기 위해 사용

GET 방식은 다음과 같이 요청 데이터에 대한 인수를 URL을 통해 웹 브라우저로 전송

> 링크 주소만 알아도 연결된 페이지의 내용 확인 가능

1-1-3. POST 메소드

URL에 요청 데이터를 전달하지 않고, HTTP의 헤더 영역이 아닌 보디 영역에 소켓을 이용하여 데이터를 전송한다.
위의 '?hi_id=363' 부분이 없으며, URL을 통해 인수값을 전송하지 않아 다른 사람이 링크를 통해 해당 페이지를 볼 수 없다.
보내려는 인자 값이 URL을 통해 노출되지 않아 보안 측면에서 GET 방식보다 안전한 편이다.

일반 게시판 경우, 목록이나 글을 보는 화면에는 접근 자유도 부여를 위해 GET 방식을 사용하고, 글을 저장 / 수정 / 삭제하는 작업 시에는 보안을 위해 POST 방식을 사용한다.

다음은 POST 메소드의 예이다.

그 외 Request 메소드

HEAD : 서버 쪽 데이터를 검색, 요청하는 데 사용
OPTIONS : 자원에 대한 요구-응답 관계에서 관련 선택 사항에 대한 정보 요청 시 사용 > 클라이언트는 어느 것을 선택할지 결정 가능, 자원 관련 필요 사항 결정과 서버의 수행 능력도 볼 수 있음
PUT : 메시지 포함 데이터를 지정한 URI(Uniform resource identifier) 장소에 지정 이름으로 저장
DELETE : URI에 지정되있는 자원을 서버에서 지울 수 있게 함
TRACE : 요구 메시지의 최종 수신처까지 루프백 검사용으로 사용 > 클라이언트가 보내는 요구 메시지가 거쳐 가는 프록시 & 게이트웨이 중간 경로와 최종 수신 서버에 이르는 경로 알아낼 때 사용

1-2-1. Response (클라이언트가 보낸 Request의 응답 패킷)

Response 패킷에 담긴 주요 내용 > 서버에서 쓰이는 프로토콜 버전, HTTP 상태 코드 등이며, 전달 데이터 형식과 데이터 길이 등과 같은 추가 정보 포함
헤더 정보 뒤에 빈 줄이 하나 들어감 > 그 다음 실제 데이터가 전달(실제 데이터는 HTML / 그림 파일) > 데이터 전달 종료 시에 서버 연결을 끊음

[표 1] HTTP 일반적인 상태코드

상태 코드	함축적 의미	설명
100번대	정보 전송	임시 응답을 나타내는 Status-Line과 선택적인 헤더로 이루어지고, 빈 줄로 끝을 맺음 HTTP 1.0까지는 계열에 대한 어떤 정의도 이루어지지 않았기 때문에 시험용 외에 서버 쪽의 추가 응답이 없음
200번대	성공	클라이언트 요청이 성공적 수신되어 처리 되었음을 의미
300번대	리다이렉션	클라이언트 요구 사항 처리를 위해 다른 곳에 있는 자원이 필요하다는 것을 의미
400번대	클라이언트 에러	클라이언트가 서버에 보내는 요구 메시지를 완전히 처리하지 못한 경우처럼 클라이언트 측에서 오류 발생을 의미
500번대	서버 에러	서버 자체에서 생긴 오류 상황이나 클라이언트의 요구 사항을 제대로 처리할 수 없을 때 발생

[표 2] HTTP 중요 상태 코드

상태 코드	의미
200 OK	클라이언트 요청이 성공
201 Created	클라이언트 PUT 요청이 성공적
301 Moved Permanently	브라우저 요청을 다른 URL로 항시 전달 다른 URL 정보는 Location 헤더에 나타남
302 Moved Temporarily	브라우저 요청을 임시 URL로 변경 Location 헤더에 임시로 변경한 URL 정보를 적음 클라이언트가 다음에 같은 요청 시, 기존 URL로 돌아감
304 Not Modified	브라우저가 서버 요청 자료에 대해 서버는 클라이언트 내에 복사된 캐시를 사용하면 된다를 의미 서버는 If-Modified-Since와 If-None-Match 요청 헤더를 사용하여 클라이언트가 가장 최근 자료를 가지고 있는지 확인
400 Bad Request	클라이언트가 서버에 잘못된 요청을 했다를 의미 예로, 클라이언트가 URL 주소 중간에 빈 공간을 넣는 등 부적절한 방법으로 서버 요청했을 시, 해당 응답 코드를 받음
401 Unauthorized	서버가 클라이언트 요청에 대해 HTTP 인증 확인을 요구하는 것을 의미
403 Forbidden	클라이언트 요청에 대한 접근 차단
404 Not Found	클라이언트가 서버에 요청한 자료가 존재하지 않음
405 Method Not Allowed	클라이언트가 요청에 이용한 메소드는 해당 URL에 지원이 불가능
413 Request Entity Too Large	클라이언트가 요청한 보디가 서버에서 처리하기에 너무 크다는 것을 의미
500 Internal Server Error	서버가 클라이언트 요청을 실행할 수 없을 때 발생 SQL 인젝션 취약점 확인 여부에 응용

HTTP 1.1은 계층적 프록시, 캐시, 지속적인 연결 필요성, 가상 호스트 등 영향 측면에서 HTTP 1.0에 비해 많이 개선되었다.

요즘 웹에서는 텍스트로만 된 문서를 찾아보기 어렵고 대부분 그림, 음악, 동영상 등이 함께 포함된다.

HTTP 1.0에서는 문서에 몇 개의 그림이 있든 상관없이 텍스트가 저장된 HTML 문서를 먼저 전송받은 후 연결을 끊고 다시 연결하여 그림을 전송받는다.

HTTP 1.1에서는 연결 요청이 계속 들어오면 HTML 문서를 받은 후 바로 그림 파일을 요청한다.

# Reference

https://www.hanbit.co.kr/store/books/look.php?p_code=B2924064192

저작자표시

Yum_Yum