모기와의 스파링 기록장

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. HTTP의 약점 1. 평문이기 때문에 도청 가능 HTTP 자신을 암호화하는 기능의 부재→평문으로 HTTP 메시지 전송 TCP/IP 구조의 통신 내용은 전부 통신 경로의 도중에 엿볼 수 있음 암호화된 통신의 경우에도, 내용을 해석할 순 없으나 전송 패킷 자체는 도청이 가능 네트워크 상의 패킷을 수집하기만 하면 도청 가능 패킷 캡처 스니퍼 암호화 방법 통신 암호화 암호화 기능이 없는 HTTP에 SSL이나 TLS 등의 프로토콜을 조합해 HTTP의 통신 내용 암호화 SSL 등을 이용해 안전한 통신로 확립→해당 통신로로 HTTP 통신 진행 콘텐츠 암호화 HTTP를 사용해서 운반하는 내용(콘텐츠)만 암호화 클라이언트에서 HTTP 메시지..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. X-Frame-Option 다른 웹사이트의 프레임에서 표시를 제어하는 HTTP 리스폰스 헤더 클락 재킹이라는 공격을 막는 목적 DENY는 거부, SAMEORIGIN은 특정 조건에서 허가 헤더 필드를 지원하는 브라우저는 나름 최신 버전이지만, 모든 웹 서버에서 설정하는 것이 바람직 X-XSS-Protection 브라우저의 XSS 보호 기능을 제어하는 HTTP 리스폰스 헤더 0은 보호 필터 무효, 1은 필터를 유효화 DNT 개인 정보 수집 거부 의사를 나타내는 HTTP 리퀘스트 헤더 0은 트래킹 동의, 1은 트래킹 거부(DNT를 켜는 느낌) 웹 서버에서 DNT 지원해야 해당 헤더 필드 유효 P3P 웹 사이트 상의 프라이버시 정책..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. 쿠키 관련 헤더 필드는 HTTP/1.1의 사양인 RFC2616에 포함된 것은 아니지만 웹사이트에서 널리 사용됨 Set-Cookie Set-Cookie: key=value; expires=Tue, 05 Jul 2011 07:36:21 GMT; path=/; domain=.hack.jp 응답 측에서 쿠키 송신 위해 사용하는 헤더 필드 서버가 클라이언트에 보낼 쿠키에 필요한 데이터 쌍(key=value), 속성 전달 브라우저는 해당 정보를 통해 쿠키를 만들어 로컬에 저장 데이터 쌍과 속성은 “; ”(세미콜론+공백)으로 구분 Set-Cookie 헤더 필드에는 하나의 쿠키(데이터 쌍)만이 저장되고, 나머지 내용은 Set-Cookie ..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. Allow Allow: GET, HEAD 리퀘스트 URI에 지정된 리소스가 제공하는 메소드 전달 서버가 받을 수 없는 메소드를 수신한 경우→405 Method Not Allowed 리스폰스와 함께 수신 가능한 메소드 정보 적힌 Allow 헤더 필드 전달 Content-Encoding Content-Encoding: gzip 서버가 엔티티 바디에 대해 적용한 콘텐츠 코딩 형식 전달 사용되는 콘텐츠 코딩 형식 gzip compress deflate identity Content-Language Content-Language: en 엔티티 바디에 사용된 자연어(한국어나 영어 등) 정보 전달 Content-Length Content..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. Accept-Ranges Accept-Ranges: bytes 서버가 레인지 리퀘스트를 처리할 수 있는지 여부를 전달하는 헤더 필드 지정 가능한 값 bytes: 수신(처리) 가능 none: 불가능 Age Age: 600 (단위: 초) 얼마나 오래 전에 오리진 서버에서 리스폰스가 생성되었는지 전달 리스폰스한 서버가 캐시 서버라면→캐시된 리스폰스의 유효성 확인했던 때로부터 지금까지 흐른 시간 전달 ETag ETag: "fsjadaskfjdsajdflkjasdlfk" 리소스를 특정하기 위한 문자열(엔티티 태그-ETag)을 전달 ETag 설명 서버는 리소스마다 ETag 값을 할당 리소스가 갱신될 때마다 ETag 값 갱신 ETag 값..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. Accept Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8 유저 에이전트에서 처리할 수 있는 미디어 타입과 미디어 타입의 상대적인 우선 순위를 서버로 전달하기 위해 사용 ‘미디어 타입/서브 타입’의 형태로도 설정 가능 여러 개 설정 가능 서버가 복수의 컨텐츠를 반환할 수 있는 경우→반환할 수 있는 가장 높은 우선 순위의 미디어 타입 반환 종류 텍스트 파일 text/html, text/plain, text/css, ... application/xhtml+xml, application/xml, ... 이미지 파일 image/jpeg, imag..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. Cache-Control 디렉티브로 불리는 명령을 사용해 캐싱 동작을 지정 지정한 디렉티브에 파라미터가 있을 수도 있고, 여러 디렉티브를 사용할 수도 있음 디렉티브 종류 public, private, no-cache 디렉티브는 캐시의 저장 여부를 결정하는 역할 public Cache-Control: public 다른 유저에게도 돌려줄 수 있는 캐시를 해도 좋다고 명시 private Cache-Control: private public 디렉티브와 기능이 정반대로 동작 특정 유저를 위해 리소스를 캐시하며, 다른 유저에게는 해당 캐시를 반환하지 않도록 함 no-cache 캐시로부터 오래된 리소스가 반환되는 것을 막기 위해 사용 클..

* 해당 게시글은 을 읽고 정리하면서 공부하기 위해 메모하듯 작성하는 글입니다. HTTP 헤더 필드 HTTP 버전과 확장 사양에 따라 지원하는 내용이 달라지기에, HTTP/1.1과 일반적으로 자주 사용되는 부분에 대해 다룸 역할 리퀘스트와 리스폰스 전달시 부가적으로 중요한 정보를 포함하는 데 사용 아래 정보를 브라우저나 서버에 제공하는 데 사용됨 메시지 바디의 크기 사용하고 있는 언어 인증 정보 등 HTTP 헤더 필드의 구조 헤더 필드 명과 헤더 필드 값으로 구성 필드명과 값은 콜론(:)으로 구분 하나의 필드가 여러 필드 값을 포함할 수도 있음 Content-Type: text/html 위의 예시에서 헤더 필드 명은 Content-Type, 필드 값은 text/html 헤더 필드의 4가지 구분 일반적 헤..