From da78a9e329e272dedb2400b79a3bdeebff387d47 Mon Sep 17 00:00:00 2001 From: Peter Bengtsson Date: Tue, 8 Dec 2020 14:42:17 -0500 Subject: initial commit --- .../ko/web/http/headers/accept-charset/index.html | 80 ++++ .../ko/web/http/headers/accept-encoding/index.html | 109 +++++ .../ko/web/http/headers/accept-language/index.html | 89 +++++ files/ko/web/http/headers/accept-ranges/index.html | 72 ++++ files/ko/web/http/headers/accept/index.html | 81 ++++ .../access-control-allow-credentials/index.html | 90 +++++ .../access-control-allow-headers/index.html | 117 ++++++ .../headers/access-control-allow-origin/index.html | 140 +++++++ .../access-control-request-headers/index.html | 71 ++++ .../access-control-request-method/index.html | 71 ++++ files/ko/web/http/headers/age/index.html | 69 ++++ files/ko/web/http/headers/allow/index.html | 67 ++++ files/ko/web/http/headers/authorization/index.html | 90 +++++ files/ko/web/http/headers/cache-control/index.html | 171 ++++++++ files/ko/web/http/headers/connection/index.html | 53 +++ .../http/headers/content-disposition/index.html | 133 ++++++ .../web/http/headers/content-encoding/index.html | 94 +++++ .../web/http/headers/content-language/index.html | 92 +++++ .../ko/web/http/headers/content-length/index.html | 60 +++ .../web/http/headers/content-location/index.html | 66 +++ files/ko/web/http/headers/content-range/index.html | 89 +++++ .../content-security-policy/default-src/index.html | 149 +++++++ .../content-security-policy/img-src/index.html | 84 ++++ .../headers/content-security-policy/index.html | 259 ++++++++++++ .../content-security-policy/report-to/index.html | 80 ++++ .../content-security-policy/script-src/index.html | 167 ++++++++ files/ko/web/http/headers/content-type/index.html | 108 +++++ files/ko/web/http/headers/cookie/index.html | 66 +++ files/ko/web/http/headers/date/index.html | 81 ++++ files/ko/web/http/headers/dnt/index.html | 83 ++++ files/ko/web/http/headers/etag/index.html | 99 +++++ files/ko/web/http/headers/expect/index.html | 90 +++++ files/ko/web/http/headers/expires/index.html | 75 ++++ files/ko/web/http/headers/forwarded/index.html | 110 +++++ files/ko/web/http/headers/from/index.html | 70 ++++ files/ko/web/http/headers/host/index.html | 70 ++++ .../web/http/headers/if-modified-since/index.html | 91 +++++ files/ko/web/http/headers/if-range/index.html | 104 +++++ files/ko/web/http/headers/index.html | 444 +++++++++++++++++++++ files/ko/web/http/headers/keep-alive/index.html | 88 ++++ files/ko/web/http/headers/last-modified/index.html | 92 +++++ files/ko/web/http/headers/origin/index.html | 88 ++++ files/ko/web/http/headers/pragma/index.html | 84 ++++ files/ko/web/http/headers/range/index.html | 84 ++++ files/ko/web/http/headers/referer/index.html | 79 ++++ files/ko/web/http/headers/retry-after/index.html | 80 ++++ files/ko/web/http/headers/server/index.html | 70 ++++ files/ko/web/http/headers/set-cookie/index.html | 161 ++++++++ .../headers/strict-transport-security/index.html | 108 +++++ .../web/http/headers/transfer-encoding/index.html | 104 +++++ files/ko/web/http/headers/vary/index.html | 82 ++++ files/ko/web/http/headers/via/index.html | 79 ++++ .../ko/web/http/headers/x-forwarded-for/index.html | 81 ++++ .../web/http/headers/x-forwarded-host/index.html | 74 ++++ .../web/http/headers/x-forwarded-proto/index.html | 61 +++ .../ko/web/http/headers/x-frame-options/index.html | 129 ++++++ .../web/http/headers/x-xss-protection/index.html | 83 ++++ 57 files changed, 5761 insertions(+) create mode 100644 files/ko/web/http/headers/accept-charset/index.html create mode 100644 files/ko/web/http/headers/accept-encoding/index.html create mode 100644 files/ko/web/http/headers/accept-language/index.html create mode 100644 files/ko/web/http/headers/accept-ranges/index.html create mode 100644 files/ko/web/http/headers/accept/index.html create mode 100644 files/ko/web/http/headers/access-control-allow-credentials/index.html create mode 100644 files/ko/web/http/headers/access-control-allow-headers/index.html create mode 100644 files/ko/web/http/headers/access-control-allow-origin/index.html create mode 100644 files/ko/web/http/headers/access-control-request-headers/index.html create mode 100644 files/ko/web/http/headers/access-control-request-method/index.html create mode 100644 files/ko/web/http/headers/age/index.html create mode 100644 files/ko/web/http/headers/allow/index.html create mode 100644 files/ko/web/http/headers/authorization/index.html create mode 100644 files/ko/web/http/headers/cache-control/index.html create mode 100644 files/ko/web/http/headers/connection/index.html create mode 100644 files/ko/web/http/headers/content-disposition/index.html create mode 100644 files/ko/web/http/headers/content-encoding/index.html create mode 100644 files/ko/web/http/headers/content-language/index.html create mode 100644 files/ko/web/http/headers/content-length/index.html create mode 100644 files/ko/web/http/headers/content-location/index.html create mode 100644 files/ko/web/http/headers/content-range/index.html create mode 100644 files/ko/web/http/headers/content-security-policy/default-src/index.html create mode 100644 files/ko/web/http/headers/content-security-policy/img-src/index.html create mode 100644 files/ko/web/http/headers/content-security-policy/index.html create mode 100644 files/ko/web/http/headers/content-security-policy/report-to/index.html create mode 100644 files/ko/web/http/headers/content-security-policy/script-src/index.html create mode 100644 files/ko/web/http/headers/content-type/index.html create mode 100644 files/ko/web/http/headers/cookie/index.html create mode 100644 files/ko/web/http/headers/date/index.html create mode 100644 files/ko/web/http/headers/dnt/index.html create mode 100644 files/ko/web/http/headers/etag/index.html create mode 100644 files/ko/web/http/headers/expect/index.html create mode 100644 files/ko/web/http/headers/expires/index.html create mode 100644 files/ko/web/http/headers/forwarded/index.html create mode 100644 files/ko/web/http/headers/from/index.html create mode 100644 files/ko/web/http/headers/host/index.html create mode 100644 files/ko/web/http/headers/if-modified-since/index.html create mode 100644 files/ko/web/http/headers/if-range/index.html create mode 100644 files/ko/web/http/headers/index.html create mode 100644 files/ko/web/http/headers/keep-alive/index.html create mode 100644 files/ko/web/http/headers/last-modified/index.html create mode 100644 files/ko/web/http/headers/origin/index.html create mode 100644 files/ko/web/http/headers/pragma/index.html create mode 100644 files/ko/web/http/headers/range/index.html create mode 100644 files/ko/web/http/headers/referer/index.html create mode 100644 files/ko/web/http/headers/retry-after/index.html create mode 100644 files/ko/web/http/headers/server/index.html create mode 100644 files/ko/web/http/headers/set-cookie/index.html create mode 100644 files/ko/web/http/headers/strict-transport-security/index.html create mode 100644 files/ko/web/http/headers/transfer-encoding/index.html create mode 100644 files/ko/web/http/headers/vary/index.html create mode 100644 files/ko/web/http/headers/via/index.html create mode 100644 files/ko/web/http/headers/x-forwarded-for/index.html create mode 100644 files/ko/web/http/headers/x-forwarded-host/index.html create mode 100644 files/ko/web/http/headers/x-forwarded-proto/index.html create mode 100644 files/ko/web/http/headers/x-frame-options/index.html create mode 100644 files/ko/web/http/headers/x-xss-protection/index.html (limited to 'files/ko/web/http/headers') diff --git a/files/ko/web/http/headers/accept-charset/index.html b/files/ko/web/http/headers/accept-charset/index.html new file mode 100644 index 0000000000..9760f9ac93 --- /dev/null +++ b/files/ko/web/http/headers/accept-charset/index.html @@ -0,0 +1,80 @@ +--- +title: Accept-Charset +slug: Web/HTTP/Headers/Accept-Charset +translation_of: Web/HTTP/Headers/Accept-Charset +--- +
{{HTTPSidebar}}
+ +

Accept-Charset 요청 HTTP 헤더는 클라이언트가 이해할 수 있는 캐릭터셋이 무엇인지를 알려줍니다. 컨텐츠 협상을 사용하여, 서버는 제안된 것 중 하나를 선택하고, 사용하며 {{HTTPHeader("Content-Type")}} 응답 헤더를 통해 선택된 캐릭터셋을 클라이언트에게 알려줍니다. 브라우저들은 각각의 컨텐츠 타입에 대한 기본 값이 일반적으로 정확하고 그것을 전송하는 것이 더 쉽게 행적을 남기게 될 가능성이 있으므로 이 헤더를 설정하지 않습니다.

+ +

서버가 일치하는 캐릭터셋을 서브하지 못할 경우, 이론적으로 {{HTTPStatus("406")}} (Not Acceptable) 오류 코드를 회신할 수 있습니다. 그러나, 더 나은 사용자 경험을 위해, 그런 경우는 드물며 더 일반적인 방법은 이런 경우 Accept-Charset 헤더를 무시하는 겁니다.

+ +
+

HTTP/1.1 초기 버전에서는, 기본 캐릭터셋(ISO-8859-1)이 정의됐었습니다. 더 이상 실제로 그렇지 않으며 이제 각각의 컨텐츠 타입이 기본 값을 가지고 있을 수도 있습니다.

+
+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Accept-Charset: <charset> // Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax: Accept-Charset: utf-8, iso-8859-1;q=0.5
+ +

디렉티브

+ +
+
<charset>
+
utf-8 혹은 iso-8859-15와 같은 캐릭터셋.
+
*
+
헤더 내 다른 곳에서 언급되지 않은 모든 캐릭터셋; 와일드카드로 사용되는'*'.
+
;q= (q-인자 가중치)
+
weight라고 불리는 상대적 품질 값을 사용해 표현되는 선호도에 따라 대체되는 값.
+
+ +

예제

+ +
Accept-Charset: iso-8859-1
+
+Accept-Charset: utf-8, iso-8859-1;q=0.5
+
+Accept-Language: utf-8, iso-8859-1;q=0.5, *;q=0.1
+
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Accept-Charset", "5.3.3")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Accept-Charset")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/accept-encoding/index.html b/files/ko/web/http/headers/accept-encoding/index.html new file mode 100644 index 0000000000..814aa2e188 --- /dev/null +++ b/files/ko/web/http/headers/accept-encoding/index.html @@ -0,0 +1,109 @@ +--- +title: Accept-Encoding +slug: Web/HTTP/Headers/Accept-Encoding +translation_of: Web/HTTP/Headers/Accept-Encoding +--- +
{{HTTPSidebar}}
+ +

Accept-Encoding 요청 HTTP 헤더는, 보통 압축 알고리즘인, 클라이언트가 이해 가능한 컨텐츠 인코딩이 무엇인지를 알려줍니다. 컨텐츠 협상을 사용하여, 서버는 제안된 내용 중 하나를 선택하고 사용하며 {{HTTPHeader("Content-Encoding")}} 응답 헤더를 이용해 선택된 것을 클라이언트에게  알려줍니다.

+ +

클라이언트와 서버 모두 동일한 압축 알고리즘을 지원한다고 해도, 식별 값 또한 수용 가능하다면, 서버는 응답의 본문을 압축하지 않으려고 할 수 있습니다. 두 가지 일반적인 경우가 이런 일을 초래합니다:

+ + + +

부호화(encoding)되지 않았음을 의미하는, identity 값이 식별에 대한 다른 명시적인 설정 값 없이 identity;q=0 or a *;q=0에 의해 명시적으로 숨겨지지 않는 한, 서버는 {{HTTPStatus("406")}} Acceptable 오류를 회신해서는 결코 안됩니다.

+ +
Notes: + + +
+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Accept-Encoding: gzip
+Accept-Encoding: compress
+Accept-Encoding: deflate
+Accept-Encoding: br
+Accept-Encoding: identity
+Accept-Encoding: *
+
+// Multiple algorithms, weighted with the {{Glossary("Quality Values", "quality value")}} syntax:
+Accept-Encoding: deflate, gzip;q=1.0, *;q=0.5
+ +

디렉티브

+ +
+
gzip
+
32비트 CRC와 함께 Lempel-Ziv coding (LZ77)를 사용하는 압축 포맷.
+
compress
+
Lempel-Ziv-Welch (LZW) 알고리즘을 사용하는 압축 포맷.
+
deflate
+
deflate 압축 알고리즘과 함께 zlib 구조를 사용하는 압축 포맷.
+
br
+
Brotli 알고리즘을 사용하는 압축 포맷.
+
identity
+
식별 함수(압축하지 않거나 수정하지 않은 경우)를 가리킵니다. 이 값은 존재하지 않은 경우에도 항상 수용 가능하다고 여겨집니다.
+
*
+
헤더 내에 아직 나열되지 않은 컨텐츠 인코딩이라도 일치됩니다. 헤더가 존재하지 않을 경우, 기본값이 됩니다. 그것이 모든 알고리즘이 지원된다는 것을 의미하지는 않습니다; 단지 표현된 선호 대상이 없다는 것을 의미합니다.
+
;q= (q값 가중치)
+
weight라고 부르는 상대적인 퀄리티 값을 사용하여 표현한 선호도에 따라 배치된 값입니다.
+
+ +

예제

+ +
Accept-Encoding: gzip
+
+Accept-Encoding: gzip, compress, br
+
+Accept-Encoding: br;q=1.0, gzip;q=0.8, *;q=0.1
+
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Accept-Encoding", "5.3.4")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Accept-Encoding")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/accept-language/index.html b/files/ko/web/http/headers/accept-language/index.html new file mode 100644 index 0000000000..083d379856 --- /dev/null +++ b/files/ko/web/http/headers/accept-language/index.html @@ -0,0 +1,89 @@ +--- +title: Accept-Language +slug: Web/HTTP/Headers/Accept-Language +translation_of: Web/HTTP/Headers/Accept-Language +--- +
{{HTTPSidebar}}
+ +

Accept-Language 요청 HTTP 헤더는 어떤 언어를 클라이언트가 이해할 수 있는지, 그리고 지역 설정 중 어떤 것이 더 선호되는지를 알려줍니다. (여기서 언어란 프로그래밍 언어가 아니라 영어같은 자연 언어를 의미합니다.) 컨텐츠 협상을 사용하여, 서버는 제안 중 하나를 선택한 뒤, 그것을 사용하고 {{HTTPHeader("Content-Language")}} 응답 헤더와 함께 선택된 내용을 클라이언트에게 알려줍니다. 브라우저는 사용자 인터페이스 언어에 따라 해당 헤더에 적절한 값을 설정하며 사용자가 사용자 인터페이스 언어를 변경한 경우조차도, 헤더의 값이 변경되는 일은 거의 없습니다(그리고 그런 일이 일어나게 되면 흔적이 남으므로 눈살을 찌프리게 됩니다).

+ +

이 헤더는 서버가 언어를 결정할 다른 방도(명시적인 사용자 결정에 의한 구체적인 URL과 같은)를 찾지 못한 경우 사용되는 힌트입니다. 서버는 명시적인 결정을 결코 재정의해서는 안됩니다. Accept-Language의 내용은 대게 사용자에 의해 좌지우지되지 못합니다(다른 나라의 인터넷 카페를 방문하여 사용하는 경우처럼); 사용자는 그들의 사용자 인터페이스의 로케일과는 다른 언어로 된 페이지에 방문하고 싶어 할 수도 있습니다.

+ +

서버가 일치되는 어떤 언어로 서브할 수 없는 경우, 이론적으로 {{HTTPStatus("406")}} (Not Acceptable) 오류 코드를 회신하게 됩니다. 그러나, 좀 더 나은 사용자 경험을 위해, 이런 경우는 드물며 그런 경우에 가장 흔한 방법은 Accept-Language 헤더를 무시하는 것입니다.

+ + + + + + + + + + + + + + + + +
헤더 유형{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple header", "CORS-safelisted request-header")}}yes
+ +

문법

+ +
Accept-Language: <language>
+Accept-Language: <locale>
+Accept-Language: *
+
+// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax:
+Accept-Language: fr-CH, fr;q=0.9, en;q=0.8, de;q=0.7, *;q=0.5
+ +

디렉티브

+ +
+
<language>
+
2개 혹은 3개 문자로 이루어진 문자열로 표현되는 언어
+
<locale>
+
전체적인 언어 태그. language 그 자체에 추가로, '-'뒤에 추가적인 내용을 담을 수도 있습니다. 가장 일반적인 추가 정보는 ('en-US'와 같은) 국가 변수값(variant) 혹은 사용을 위한 ('sr-Lat'와 같은) 알파벳 유형이 있습니다. 철자법 타입과 같은 다른 변형들('de-DE-1996')은 보통 이 헤더의 맥락에서는 사용되지 않습니다. Other variants like the type of orthography ('de-DE-1996')
+
*
+
어떤 언어든지 상관없음; 와일드카드처럼 사용되는 '*'.
+
;q= (q-인자 가중치)
+
weight라고 불리는 상대적 품질 값을 사용해 표현되는 선호도에 따라 대체되는 값.
+
+ +

예제

+ +
Accept-Language: de
+
+Accept-Language: de-CH
+
+Accept-Language: en-US,en;q=0.5
+
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Accept-Language", "5.3.5")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Accept-Language")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/accept-ranges/index.html b/files/ko/web/http/headers/accept-ranges/index.html new file mode 100644 index 0000000000..0485fb0873 --- /dev/null +++ b/files/ko/web/http/headers/accept-ranges/index.html @@ -0,0 +1,72 @@ +--- +title: Accept-Ranges +slug: Web/HTTP/Headers/Accept-Ranges +translation_of: Web/HTTP/Headers/Accept-Ranges +--- +
{{HTTPSidebar}}
+ +

Accept-Ranges 응답 HTTP 헤더는 부분 요청의 지원을 알리기 위해 서버에 의해 사용되는 표식입니다. 이 필드의 값은 범위를 정의하기 위해 사용될 수 있는 단위를 가리킵니다.

+ +

Accept-Ranges 헤더가 존재하면, 브라우저는 처음부터 다시 다운로드를 시작하지 않고, 중단된 다운로드를 재개하려고 할 것입니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Accept-Ranges: bytes
+Accept-Ranges: none
+ +

디렉티브

+ +
+
none
+
지원되는 범위의 단위가 없음을 나타내는데, 이는 헤더가 존재하지 않는 경우와 동일하므로 거의 사용되지 않습니다. 그렇지만 IE9같은 브라우저의 경우 다운로드 매니저의 일시중지 버튼을 비활설화(disable) 혹은 제거(remove)할 때 쓰이곤 합니다.
+
bytes
+
+

범위는 바이트로 표현될 수 있습니다.

+
+
+ +

예제

+ +
Accept-Ranges: bytes
+
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7233", "Accept-Ranges", "2.3")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/accept/index.html b/files/ko/web/http/headers/accept/index.html new file mode 100644 index 0000000000..80b4ee0216 --- /dev/null +++ b/files/ko/web/http/headers/accept/index.html @@ -0,0 +1,81 @@ +--- +title: Accept +slug: Web/HTTP/Headers/Accept +translation_of: Web/HTTP/Headers/Accept +--- +
{{HTTPSidebar}}
+ +

Accept 요청 HTTP 헤더는 MIME 타입으로 표현되는, 클라이언트가 이해 가능한 컨텐츠 타입이 무엇인지를 알려줍니다. 컨텐츠 협상을 이용해, 서버는 제안 중 하나를 선택하고 사용하며 {{HTTPHeader("Content-Type")}} 응답 헤더로 클라이언트에게 선택된 타입을 알려줍니다. 브라우저는 요청이 이루어진 컨텍스트에 따라 해당 헤더에 대해 적당한 값들을 설정합니다: CSS 스타일시트를 불러오게 되면, 이미지, 비디오 혹은 스크립트를 불러올 때와 다른 값이 요청에 대해 설정됩니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Accept: <MIME_type>/<MIME_subtype>
+Accept: <MIME_type>/*
+Accept: */*
+
+// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax:
+Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
+ +

디렉티브

+ +
+
<MIME_type>/<MIME_subtype>
+
text/html와 같이 단일의 간격한 MIME 타입.
+
<MIME_type>/*
+
서버 타입을 갖지 않는 MIME 타입. image/* 은 image/png, image/svg, image/gif 그리고 어떤 다른 이미지 타입들과도 일치하게 됩니다.
+
*/*
+
모든 MIME 타입
+
;q= (q-인자 가중치)
+
사용되는 모든 값들은 weight라고 부르는 상대적인 품질 값을 사용하여 표현되는 선호 순서로 대체됩니다.
+
+ +

예제

+ +
Accept: text/html
+
+Accept: image/*
+
+Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
+
+ +

사양서

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Accept", "5.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/access-control-allow-credentials/index.html b/files/ko/web/http/headers/access-control-allow-credentials/index.html new file mode 100644 index 0000000000..083439f215 --- /dev/null +++ b/files/ko/web/http/headers/access-control-allow-credentials/index.html @@ -0,0 +1,90 @@ +--- +title: Access-Control-Allow-Credentials +slug: Web/HTTP/Headers/Access-Control-Allow-Credentials +translation_of: Web/HTTP/Headers/Access-Control-Allow-Credentials +--- +
{{HTTPSidebar}}
+ +

응답헤더 Access-Control-Allow-Credentials 는  요청의 자격증명 모드({{domxref("Request.credentials")}})가 "include" 일때,   브라우저들이 응답을 프로트엔드 자바스트립트 코드에 노출할지에 대해 알려줍니다.

+ +

 요청의 자격증명 모드가  ({{domxref("Request.credentials")}})가  "include" 일 때,  Access-Control-Allow-Credentials 값이 true 일 경우에만 브라우저들은 프로트엔드 자바스트립트에 응답을 노출 할 것입니다.

+ +

자격증명들은 쿠키, authorization 헤더들 또는 TLS 클라이언트 인증서입니다.

+ +

사전 요청의 응답으로 사용할 때, 실제 요청에서 자격증명을 이용할 수 있는지에 대해서 알려줍니다. 심플한 {{HTTPMethod("GET")}} 요청은 사전 요청하지 않으므로, 자격증명과 함께 리소스에 대한 요청이 만들어 지고,  응답에서 리소스와 함께 이 헤더가 없다면 브라우저는 응답을 무시하고 웹 콘텐츠가 전달 되지 않습니다.

+ +

Access-Control-Allow-Credentials 헤더는 {{domxref("XMLHttpRequest.withCredentials")}} 속성이나 Fetch API 생성자의{{domxref("Request.Request()", "Request()")}}의 credentials 옵션과 함께 작동합니다. 자격 증명이 있는 CORS 요청의 경우, 브라우저가 프런트엔드 JavaScript 코드에 대한 응답을 노출하기 위해서는 서버(Access-Control-Allow-Credentials 헤더 사용)와 클라이언트(XHR, Fetch 또는 Ajax 요청에 대한 자격 증명 모드를 설정하여)가 자격 증명 포함을 선택하고 있음을 표시해야 합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

구문

+ +
Access-Control-Allow-Credentials: true
+
+ +

디렉티브

+ +
+
true
+
이 해더에 유일하게 유효한 값은 true(대소문자 구분)입니다. 자격증명이 필요하지 않으면 값을 false로 설정하지 말고 이 해더 전체를 생략하세요.
+
+ +

예제

+ +

Allow credentials:

+ +
Access-Control-Allow-Credentials: true
+ +

Using XHR with credentials:

+ +
var xhr = new XMLHttpRequest();
+xhr.open('GET', 'http://example.com/', true);
+xhr.withCredentials = true;
+xhr.send(null);
+ +

Using Fetch with credentials:

+ +
fetch(url, {
+  credentials: 'include'
+})
+ +

사양

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-allow-credentials', 'Access-Control-Allow-Credentials')}}{{Spec2("Fetch")}}Initial definition
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Access-Control-Allow-Credentials")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/access-control-allow-headers/index.html b/files/ko/web/http/headers/access-control-allow-headers/index.html new file mode 100644 index 0000000000..25cffdf23f --- /dev/null +++ b/files/ko/web/http/headers/access-control-allow-headers/index.html @@ -0,0 +1,117 @@ +--- +title: Access-Control-Allow-Headers +slug: Web/HTTP/Headers/Access-Control-Allow-Headers +tags: + - CORS + - HTTP + - Reference + - 헤더 +translation_of: Web/HTTP/Headers/Access-Control-Allow-Headers +--- +
{{HTTPSidebar}}
+ +

Access-Control-Allow-Headers 는 {{HTTPHeader("Access-Control-Request-Headers")}}를 포함하는 {{glossary("preflight request")}}의 응답에 사용되는 헤더로, 실제 요청때 사용할 수 있는 HTTP 헤더의 목록을 나열합니다.

+ +

요청에 {{HTTPHeader("Access-Control-Request-Headers")}} 헤더가 포함되어 있을 경우, 이 헤더를 포함하여야 합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

구문

+ +
Access-Control-Allow-Headers: <header-name>[, <header-name>]*
+Access-Control-Allow-Headers: *
+
+ +

지시자

+ +
+
<header-name>
+
지원하는 헤더의 이름입니다. 쉼표로 구분하여 원하는 만큼 헤더를 나열할 수 있습니다.
+
* (와일드카드)
+
"*" 값은 자격 증명이 없는 요청(쿠키 혹은 HTTP 인증 정보가 없는 요청)일 경우 특수한 와일드 카드로 처리됩니다. 자격증명을 포함하는 경우 단순히 "*"라는 이름을 갖는 특별한 의미가 없는 헤더로 취급됩니다. 단, {{HTTPHeader("Authorization")}} 헤더는 와일드카드에 포함되지 않으며 명시적으로 나열해야 합니다.
+
+ +

예제

+ +

사용자 정의 헤더

+ +

다음은 Access-Control-Allow-Headers 헤더가 어떤 식으로 작성되는지에 대한 예시입니다. {{glossary("CORS-safelisted_request_header", "CORS에서 안전한 헤더")}}외에도 X-Custom-Header라는 사용자 정의 헤더가 서버에 대한 CORS 요청에 의해 지원됨을 나타냅니다.

+ +
Access-Control-Allow-Headers: X-Custom-Header
+ +

여러 개의 헤더

+ +

이 예시는 여러 개의 헤더를 지정할 때 Access-Control-Allow-Headers가 어떤 식으로 작성되는지 보여줍니다.

+ +
Access-Control-Allow-Headers: X-Custom-Header, Upgrade-Insecure-Requests
+ +

Preflight 요청 예시

+ +

사전 요청에서  Access-Control-Allow-Headers 이 사용된 경우의 예제를 보도록 합시다.

+ +

요청

+ +

Preflight 요청은 Preflight 요청 헤더인 {{HTTPHeader("Access-Control-Request-Method")}}, {{HTTPHeader("Access-Control-Request-Headers")}} {{HTTPHeader("Origin")}}, 이 세가지 Preflight 요청 헤더를 포함하는 {{HTTPMethod("OPTIONS")}} 요청입니다.

+ +
OPTIONS /resource/foo
+Access-Control-Request-Method: DELETE
+Access-Control-Request-Headers: origin, x-requested-with
+Origin: https://foo.bar.org
+ +

응답

+ +

만약 서버가 {{HTTPMethod("DELETE")}} 메소드에 CORS 요청을 허용한다면 {{HTTPHeader("Access-Control-Allow-Methods")}}에 DELETE, 그리고 다른 지원하는 메소드를 포함하여 응답합니다.

+ +
HTTP/1.1 200 OK
+Content-Length: 0
+Connection: keep-alive
+Access-Control-Allow-Origin: https://foo.bar.org
+Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
+Access-Control-Max-Age: 86400
+ +

요청된 메소드가 지원되지 않으면 서버는 오류로 응답합니다.

+ +

명세

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-allow-headers', 'Access-Control-Allow-Headers')}}{{Spec2("Fetch")}}Initial definition.
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Access-Control-Allow-Headers")}}

+ +

함께 보기

+ + diff --git a/files/ko/web/http/headers/access-control-allow-origin/index.html b/files/ko/web/http/headers/access-control-allow-origin/index.html new file mode 100644 index 0000000000..7fcc879d53 --- /dev/null +++ b/files/ko/web/http/headers/access-control-allow-origin/index.html @@ -0,0 +1,140 @@ +--- +title: Access-Control-Allow-Origin +slug: Web/HTTP/Headers/Access-Control-Allow-Origin +translation_of: Web/HTTP/Headers/Access-Control-Allow-Origin +--- +

Access-Control-Allow-Origin 응답 헤더는 이 응답이 주어진 {{glossary("origin")}}으로부터의 요청 코드와 공유될 수 있는지를 나타냅니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

구문

+ +
Access-Control-Allow-Origin: *
+Access-Control-Allow-Origin: <origin>
+Access-Control-Allow-Origin: null
+
+ +

지시자

+ +
+
*
+
credential이 없는 요청들에 와일드카드로써 문자 값 "*"이 명시될 수 있습니다. 이 값은 브라우저에 리소스에 접근하는 임의의 origin으로부터의 요청 코드를 허용함을 알립니다.  와일드카드를 credential과 함께 사용하려고 하면 오류가 발생합니다.
+
<origin>
+
origin을 명시합니다. 하나의 origin만 명시될 수 있습니다.
+
+ +

예시

+ +

브라우저에 리소스에 접근하는 임의의 origin으로부터의 요청을 허용한다고 알리는 응답은 다음을 포함할 것입니다:

+ +
Access-Control-Allow-Origin: *
+ +

브라우저에 https://developer.mozilla.org으로부터의 요청을 허용한다고 알리는 응답은 다음을 포함할 것입니다:

+ +
Access-Control-Allow-Origin: https://developer.mozilla.org
+ +

가능한 Access-Control-Allow-Origin 값을 허용된 origin 집합으로 제한하는 것은 요청 헤더의 {{HTTPHeader("Origin")}}를 검사하는 서버 측 코드가 필요합니다. 이를 허용된 origin 리스트와 비교하고,  {{HTTPHeader("Origin")}} 값이 리스트에 있으면 Access-Control-Allow-Origin 값을 {{HTTPHeader("Origin")}}과 동일한 값으로 설정합니다.

+ +

CORS and caching

+ +

서버가 ("*" 와일드카드 외에) 명시적인 origin을 Access-Control-Allow-Origin 과 함께 응답으로 보내면, 응답은 값이 Origin인 {{HTTPHeader("Vary")}} 응답 헤더 또한 포함해야 합니다 — 브라우저에 서버가 Origin 요청 헤더의 값에 따라 다르게 응답할 수 있음을 알리기 위해.

+ +
Access-Control-Allow-Origin: https://developer.mozilla.org
+Vary: Origin
+ +

Handling CORS on the server (Java example)

+ +

다음의 Java 코드는 CORS 요청 헤더를 설정합니다. 코드가 어떻게 Access-Control-Allow-Origin 값을 {{HTTPHeader("Origin")}} 요청 헤더와 동일한 값을 설정하는지 알아 두십시오.

+ +
import java.io.IOException;
+import javax.servlet.Filter;
+import javax.servlet.FilterChain;
+import javax.servlet.FilterConfig;
+import javax.servlet.ServletException;
+import javax.servlet.ServletRequest;
+import javax.servlet.ServletResponse;
+import javax.servlet.http.HttpServletRequest;
+import javax.servlet.http.HttpServletResponse;
+import org.slf4j.Logger;
+import org.slf4j.LoggerFactory;
+import org.springframework.stereotype.Component;
+
+
+@Component
+public class SimpleCORSFilter implements Filter {
+
+private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);
+
+public SimpleCORSFilter() {
+    log.info("SimpleCORSFilter init");
+}
+
+@Override
+public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
+
+    HttpServletRequest request = (HttpServletRequest) req;
+    HttpServletResponse response = (HttpServletResponse) res;
+    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
+    response.setHeader("Access-Control-Allow-Credentials", "true");
+    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
+    response.setHeader("Access-Control-Max-Age", "3600");
+    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");
+    chain.doFilter(req, res);
+}
+
+@Override
+public void init(FilterConfig filterConfig) {
+}
+
+@Override
+public void destroy() {
+}
+
+}
+
+ +

Specifications

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}}{{Spec2("Fetch")}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.Access-Control-Allow-Origin")}}

+ +

참고

+ + + +
{{HTTPSidebar}}
diff --git a/files/ko/web/http/headers/access-control-request-headers/index.html b/files/ko/web/http/headers/access-control-request-headers/index.html new file mode 100644 index 0000000000..1da8a6af4d --- /dev/null +++ b/files/ko/web/http/headers/access-control-request-headers/index.html @@ -0,0 +1,71 @@ +--- +title: Access-Control-Request-Headers +slug: Web/HTTP/Headers/Access-Control-Request-Headers +tags: + - CORS + - HTTP + - Reference + - header +translation_of: Web/HTTP/Headers/Access-Control-Request-Headers +--- +
{{HTTPSidebar}}
+ +

요청 헤더 Access-Control-Request-Headers는 실제 요청이 만들어질 때 클라이언트가 보낼 수도 있는 HTTP headers를 서버에게 알리기 위해 브라우저가 {{glossary("preflight request")}}를 발급(issue)할 때 사용됩니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

구문

+ +
Access-Control-Request-Headers: <header-name>, <header-name>, ...
+
+ +

지시어

+ +
+
<header-name>
+
요청에 포함 된 HTTP headers의 쉼표로 구분 한 목록.
+
+ +

예제

+ +
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
+ +

명세

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-request-headers', 'Access-Control-Request-Headers')}}{{Spec2("Fetch")}}Initial definition.
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Access-Control-Request-Headers")}}

+ +

더보기

+ + diff --git a/files/ko/web/http/headers/access-control-request-method/index.html b/files/ko/web/http/headers/access-control-request-method/index.html new file mode 100644 index 0000000000..3947c883ed --- /dev/null +++ b/files/ko/web/http/headers/access-control-request-method/index.html @@ -0,0 +1,71 @@ +--- +title: Access-Control-Request-Method +slug: Web/HTTP/Headers/Access-Control-Request-Method +tags: + - CORS + - HTTP + - Reference + - header +translation_of: Web/HTTP/Headers/Access-Control-Request-Method +--- +
{{HTTPSidebar}}
+ +

요청 헤더 Access-Control-Request-Method는 실제 요청이 만들어질 때 클라이언트가 보낼 수도 있는 HTTP headers를 서버에게 알리기 위해 브라우저가 {{glossary("preflight request")}}를 발급(issue)할 때 사용됩니다. 사전 요청(preflight request)은 항상 {{HTTPMethod("OPTIONS")}}이며 실제 요청과 동일한 메소드를 사용하지 않으므로 이 헤더가 필요합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

구문

+ +
Access-Control-Request-Method: <method>
+
+ +

지시어

+ +
+
<method>
+
HTTP request methods 중 하나. 예를 들어 {{HTTPMethod("GET")}}, {{HTTPMethod("POST")}}, 또는 {{HTTPMethod("DELETE")}}.
+
+ +

예제

+ +
Access-Control-Request-Method: POST
+ +

명세

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-request-method', 'Access-Control-Request-Method')}}{{Spec2("Fetch")}}Initial definition.
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Access-Control-Request-Method")}}

+ +

더보기

+ + diff --git a/files/ko/web/http/headers/age/index.html b/files/ko/web/http/headers/age/index.html new file mode 100644 index 0000000000..a8594ee54e --- /dev/null +++ b/files/ko/web/http/headers/age/index.html @@ -0,0 +1,69 @@ +--- +title: Age +slug: Web/HTTP/Headers/Age +translation_of: Web/HTTP/Headers/Age +--- +
{{HTTPSidebar}}
+ +

Age 헤더는 객체가 프록시 캐시 내에 머무는 초단위의 시간을 가집니다.

+ +

Age 헤더는 보통 0에 가깝습니다. 만약 Age: 0라면, 그것은 아마도 원 서버로부터 막 내려받은 것일 겁니다; 그게 아니라면 프록시의 현재 시간과 HTTP 응답 내에 포함된 {{HTTPHeader("Date")}} 일반 헤더의 차로 계산됩니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Age: <delta-seconds>
+
+ +

디렉티브

+ +
+
<delta-seconds>
+
+

음수가 아닌 정수형으로, 객체가 프록시 캐시 내에 머문 초단위 시간을 나타냅니다.

+
+
+ +

예제

+ +
Age: 24
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7234", "Age", "5.1")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Age")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/allow/index.html b/files/ko/web/http/headers/allow/index.html new file mode 100644 index 0000000000..11cdabd478 --- /dev/null +++ b/files/ko/web/http/headers/allow/index.html @@ -0,0 +1,67 @@ +--- +title: Allow +slug: Web/HTTP/Headers/Allow +tags: + - Entity header + - HTTP + - HTTP Header + - Reference + - header +translation_of: Web/HTTP/Headers/Allow +--- +
{{HTTPSidebar}}
+ +

Allow 헤더는 리소스가 지원하는 메소드 집합을 나열합니다.

+ +

어떤 요청 메소드를 사용할 수 있는지 알리기 위해 서버가 {{HTTPStatus("405")}} Method Not Allowed 상태코드로 응답할 경우에 이 헤더를 반드시 보내야 합니다. 비어있는 Allow 헤더는 리소스가 어떤 요청 메소드도 허용하지 않음을 나타냅니다. 예를 들어, 특정 리소스에 대해 일시적으로 발생할 수도 있는 요청 메소드조차 허용하지 않음을 나타냅니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

구문

+ +
Allow: <http-methods>
+
+ +

지시어

+ +
+
<http-methods>
+
쉼표로 구분한 허용된 HTTP request methods 목록.
+
+ +

예제

+ +
Allow: GET, POST, HEAD
+ +

명세

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Allow", "7.4.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

더보기

+ + diff --git a/files/ko/web/http/headers/authorization/index.html b/files/ko/web/http/headers/authorization/index.html new file mode 100644 index 0000000000..769d7d43e3 --- /dev/null +++ b/files/ko/web/http/headers/authorization/index.html @@ -0,0 +1,90 @@ +--- +title: Authorization +slug: Web/HTTP/Headers/Authorization +tags: + - HTTP + - HTTP 헤더 + - 요청 헤더 + - 참고자료 + - 헤더 +translation_of: Web/HTTP/Headers/Authorization +--- +
{{HTTPSidebar}}
+ +

HTTP Authorization 요청 헤더는 서버의 사용자 에이전트임을 증명하는 자격을 포함하여, 보통 서버에서 {{HTTPStatus("401")}} Unauthorized 상태를 {{HTTPHeader("WWW-Authenticate")}} 헤더로 알려준 이후에 나옵니다.

+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}아니오
+ +

문법

+ +
Authorization: <type> <credentials>
+ +

지시자

+ +
+
<type>
+
인증 타입. 보통 타입은 "Basic"이며. 다른 타입으로: + +
+
<credentials>
+
만약 "Basic" 인증 스킴이 사용되었다면, 증명은 다음과 같이 만들어집니다: +
    +
  • 사용자명과 비밀번호가 콜론을 이용하여 합쳐집니다(aladdin:opensesame).
  • +
  • 그 결과에 대한 문자열을 base64 로 인코딩합니다 (YWxhZGRpbjpvcGVuc2VzYW1l).
  • +
+ +
+

Note: Base64 인코딩은 암호화나 해싱을 의미하지 않습니다! 이 방법은 인증에 대해서 문자를 그대로 보내는 것과 동일하다고 할 수 있습니다 (base64인코딩은 복호화 가능). Basic 인증을 하는 경우 HTTPS로 접속하는 것을 권장합니다.

+
+
+
+ +

예제

+ +
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
+
+ +

HTTP basic 인증을 사용하여 비밀번호를 보호하기 위해 Apache 또는 nginx 서버를 어떻게 설정해야 하는지 예제를 보기 위해서는 HTTP authentication 를 보시기 바랍니다.

+ +

기술 사양

+ + + + + + + + + + + + + + + + +
기술 사양제목
{{RFC("7235", "Authorization", "4.2")}}HTTP/1.1: Authentication
{{RFC("7617")}}The 'Basic' HTTP Authentication Scheme
+ +

함께 더 보기

+ + diff --git a/files/ko/web/http/headers/cache-control/index.html b/files/ko/web/http/headers/cache-control/index.html new file mode 100644 index 0000000000..28225982b0 --- /dev/null +++ b/files/ko/web/http/headers/cache-control/index.html @@ -0,0 +1,171 @@ +--- +title: Cache-Control +slug: Web/HTTP/Headers/Cache-Control +translation_of: Web/HTTP/Headers/Cache-Control +--- +
{{HTTPSidebar}}
+ +

Cache-Control 일반 헤더 필드는 요청과 응답 내의 캐싱 메커니즘을 위한 디렉티브를 정하기 위해 사용됩니다. 캐싱 디렉티브는 단방향성이며, 이는 요청 내에 주어진 디렉티브가 응답 내에 주어진 디렉티브와 동일하다는 것을 뜻하지는 않는다는 것을 의미합니다.

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

문법

+ +

디렉티브는 대소문자를 구분하지 않으며 토큰과 따옴표로 둘러쌓인 문자열 문법 모두를 사용할 수 있는 부가적인 인자를 가집니다. 다중 디렉티브는 쉼표로 구분됩니다.

+ +

캐시 요청 디렉티브

+ +

HTTP 요청 내에서 클라이언트에 의해 사용될 수 있는 표준 Cache-Control 디렉티브.

+ +
Cache-Control: max-age=<seconds>
+Cache-Control: max-stale[=<seconds>]
+Cache-Control: min-fresh=<seconds>
+Cache-control: no-cache
+Cache-control: no-store
+Cache-control: no-transform
+Cache-control: only-if-cached
+
+ +

캐시 응답 디렉티브

+ +

HTTP 응답 내에서 서버에 의해 사용될 수 있는 표준 Cache-Control 디렉티브.

+ +
Cache-control: must-revalidate
+Cache-control: no-cache
+Cache-control: no-store
+Cache-control: no-transform
+Cache-control: public
+Cache-control: private
+Cache-control: proxy-revalidate
+Cache-Control: max-age=<seconds>
+Cache-control: s-maxage=<seconds>
+
+ +

확장 Cache-Control 디렉티브

+ +

확장 Cache-Control 디렉티브는 핵심 HTTP 캐싱 표준 문서에 속하지 않습니다. 지원 여부는 호환성 테이블을 확인하시기 바랍니다.

+ +
Cache-control: immutable
+Cache-control: stale-while-revalidate=<seconds>
+Cache-control: stale-if-error=<seconds>
+
+ +

디렉티브

+ +

캐시 능력

+ +
+
public
+
응답이 어떤 캐시에 의해서든 캐시된다는 것을 나타냅니다.
+
private
+
응답이 단일 사용자를 위한 것이며 공유 캐시에 의해 저장되지 않아야 한다는 것을 나타냅니다. 사설 캐시는 응답을 저장할 수도 있습니다.
+
no-cache
+
캐시된 복사본을 사용자에게 보여주기 이전에, 재검증을 위한 요청을 원 서버로 보내도록 강제합니다.
+
only-if-cached
+
새로운 데이터를 내려받지 않음을 나타냅니다. 클라이언트는 캐시된 응답만을 원하며, 더 최신 복사본이 존재하는지를 알아보기 위해 서버에 요청해선 안됩니다.
+
+ +

만료

+ +
+
max-age=<seconds>
+
리소스가 최신 상태라고 판단할 최대 시간을 지정합니다. Expires에 반해, 이 디렉티브는 요청 시간과 관련이 있습니다.
+
s-maxage=<seconds>
+
max-age 혹은 Expires 헤더를 재정의하나, (프록시와 같은) 공유 캐시에만 적용되며 사설 캐시에 의해서는 무시됩니다.
+
max-stale[=<seconds>]
+
클라이언트가 캐시의 만료 시간을 초과한 응답을 받아들일지를 나타냅니다. 부가적으로, 초 단위의 값을 할당할 수 있는데, 이는 응답이 결코 만료되서는 안되는 시간을 나타냅니다.
+
min-fresh=<seconds>
+
클라이언트가 지정된 시간(초단위) 동안 신선한 상태로 유지될 응답을 원한다는 것을 나타냅니다.
+
stale-while-revalidate=<seconds> {{experimental_inline}}
+
비동기 적으로 백그라운드 에서 새로운 것으로 체크인하는 동안 클라이언트가 최신이 아닌 응답을 받아 들일 것임을 나타냅니다. 초 값은 클라이언트가 최신이 아닌 응답을 받아 들일 시간을 나타냅니다.
+
stale-if-error=<seconds> {{experimental_inline}}
+
...
+
+ +

재검증과 리로딩

+ +
+
must-revalidate
+
캐시는 사용하기 이전에 기존 리소스의 상태를 반드시 확인해야 하며 만료된 리소스는 사용되어서는 안됩니다.
+
proxy-revalidate
+
must-revalidate와 동일하지만, (프록시와 같은)공유 캐시에만 적용되며 사설 캐시에 의해서는 무시됩니다.
+
immutable
+
응답 본문이 계속해서 변하지 않을 것이라는 것을 나타냅니다. 응답은, 만료되지 않은 경우라면, 서버 상에서 변경되지 않을 것이고 그러므로 클라이언트는 업데이트 검사를 위해 (If-None-Match 혹은 If-Modified-Since과 같은)그에 대한 조건부의 재검증을 전송해서는 안 됩니다. 이 확장을 감지하지못한 클라이언트는 HTTP 명세에 따라 그것들을 무시해야만 합니다. 파이어폭스에서, immutablehttps:// 트랜잭션 상에서만 부여됩니다. 좀 더 많은 정보는 다음의 블로그 포스트를 참고하시기 바랍니다.
+
+ +

기타

+ +
+
no-store
+
캐시는 클라이언트 요청 혹은 서버 응답에 관해서 어떤 것도 저장해서는 안됩니다.
+
no-transform
+
응답에 대해 변형이나 변환이 일어나서는 안됩니다. Content-Encoding, Content-Range, Content-Type 헤더는 프록시에 의해서 수정되어서는 안됩니다. 반투명 프록시는, 예를 들어, 캐시 공간을 절약하고 느린 링크 상의 트래픽량을 줄이기 위해 이미지 포맷들을 변환합니다. no-transform 디렉티브는 이를 허용하지 않습니다.
+
+ +

예제

+ +

캐싱 막기

+ +

캐싱을 끄기 위해서, 다음의 디렉티브들을 보낼 수 있습니다. 추가로, Expires와 Pragma 헤더를 참고하시기 바랍니다.

+ +
Cache-Control: no-cache, no-store, must-revalidate
+
+ +

정적 에셋 캐싱

+ +

변경되지 않을 애플리케이션 내 파일들에 대해, 보통 적극적인 캐싱을 추가할 수 있습니다. 이것은 예를 들자면, 이미지, CSS 파일 그리고 자바스크립트 파일과 같이 애플리케이션에 의해 서브되는 정적 파일들을 포함합니다. 추가로, Expires 헤더를 참고하시기 바랍니다.

+ +
Cache-Control:public, max-age=31536000
+ +

명세

+ + + + + + + + + + + + + + + + + + + + +
명세제목
{{RFC("7234")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
{{RFC("5861")}}HTTP Cache-Control Extensions for Stale Content
{{RFC("8246")}}HTTP Immutable Responses
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Cache-Control")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/connection/index.html b/files/ko/web/http/headers/connection/index.html new file mode 100644 index 0000000000..f86c4e666f --- /dev/null +++ b/files/ko/web/http/headers/connection/index.html @@ -0,0 +1,53 @@ +--- +title: Connection +slug: Web/HTTP/Headers/Connection +tags: + - HTTP + - 웹 + - 참조 + - 헤더 +translation_of: Web/HTTP/Headers/Connection +--- +
{{HTTPSidebar}}
+ +

Connection 일반 헤더는 현재의 전송이 완료된 후 네트워크 접속을 유지할지 말지를 제어합니다. 만약 전송된 값이 keep-alive면, 연결은 지속되고 끊기지 않으며, 동일한 서버에 대한 후속 요청을 수행할 수 있습니다.

+ +
+

{{HTTPHeader("Connection")}} 와 {{HTTPHeader("Keep-Alive")}} 같은 연결-지정(Connection-specific) 헤더 필드들은 HTTP/2.에서 금지되었습니다. 크롬과 파이어폭스는 HTTP/2 응답에서 그들을 무시하지만, 사파리는 HTTP/2 규격 요건에 따라 해당 필드가 포함된 응답은 처리하지 않습니다. 

+
+ +

표준 홉 간 헤더인 ({{HTTPHeader("Keep-Alive")}}, {{HTTPHeader("Transfer-Encoding")}}, {{HTTPHeader("TE")}}, {{HTTPHeader("Connection")}}, {{HTTPHeader("Trailer")}}, {{HTTPHeader("Upgrade")}}, {{HTTPHeader("Proxy-Authorization")}} 그리고 {{HTTPHeader("Proxy-Authenticate")}})를 제외하고, 메시지에 의해 사용되는 모든 홉 간 헤더들이 Connection 헤더 내에 연결되기에, 첫번째 프록시는 자신이 해당 헤더들을 소비해야 하며 포워드해서는 안된다는 것을 알 게 됩니다. 표준 홉 간 헤더들도 나열될 수 있지만(대게 {{HTTPHeader("Keep-Alive")}}의 경우가 그렇습니다), 강제적인 것은 아닙니다.

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Connection: keep-alive
+Connection: close
+
+ +

디렉티브

+ +
+
close
+
클라이언트 혹은 서버가 연결을 닫으려고 하는 것을 나타냅니다. 이것은 HTTP/1.0 요청에서 기본 값입니다.
+
쉼표로 구분된 HTTP 헤더 목록 [보통 keep-alive 만 해당]
+
클라이언트가 연결을 열린 상태로 유지하려는 것을 나타냅니다. 영속적인 연결을 가지는 것은 HTTP/1.1 요청의 경우 기본입니다. 헤더 목록은 첫번째 반투명 프록시 혹은 중간 캐시에 의해 제거될 헤더의 이름입니다: 이 헤더들은 목적지 노드가 아닌 (요청) 발행자와 첫번째 개체 사이의 연결을 정의합니다.
+
+ +

브라우저 호환성

+ + + +
{{Compat("http.headers.Connection")}}
diff --git a/files/ko/web/http/headers/content-disposition/index.html b/files/ko/web/http/headers/content-disposition/index.html new file mode 100644 index 0000000000..febe46b9dd --- /dev/null +++ b/files/ko/web/http/headers/content-disposition/index.html @@ -0,0 +1,133 @@ +--- +title: Content-Disposition +slug: Web/HTTP/Headers/Content-Disposition +translation_of: Web/HTTP/Headers/Content-Disposition +--- +
{{HTTPSidebar}}
+일반적인 HTTP 응답에서 Content-Disposition 헤더는 컨텐츠가 브라우저에 inline 되어야 하는 웹페이지 자체이거나 웹페이지의 일부인지, 아니면 attachment로써 다운로드 되거나 로컬에 저장될 용도록 쓰이는 것인지를 알려주는 헤더입니다.
+ +
+ +

multipart/form-data 본문에서의 Content-Disposition 일반 헤더는 multipart의 하위파트에서 활용될 수 있는데, 이 때 이 헤더는 multipart 본문 내의 필드에 대한 정보를 제공합니다. multipart의 하위파트는 {{HTTPHeader("Content-Type")}} 헤더에 정의된 boundary 구분자에 의해 구분되며, Content-Disposition 헤더를 multipart 자체에 사용하는 것은 아무런 효과를 발휘하지 못합니다.

+ +

Content-Disposition 헤더는 광의의 MIME 맥락 속에서 정의되었는데, 그 정의에서 사용되는 파라미터 중 일부인 form-data, name 그리고 filename만이 HTTP forms와 {{HTTPMethod("POST")}} 요청에 적용될 수 있습니다. 여기서 namefilename은 필수적인 파라미터는 아닙니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}} (for the main body)
+ {{Glossary("General header")}} (for a subpart of a multipart body)
{{Glossary("Forbidden header name")}}no
+ +

Syntax (구문)

+ +

As a response header for the main body (메인 바디를 위한 응답 헤더로서)

+ +

HTTP 구문의 첫번째 파라미터는 inline (기본값, 웹 페이지 안에서 또는 웹 페이지로 나타남) 또는 attachment (반드시 다운로드 받아야 하며 대부분의 브라우저는 'Save as'(새이름으로저장)창을 보여주고 filename 파라미터들이 존재한다면 그 이름을 새이름으로 미리 채워줌)입니다.

+ +
Content-Disposition: inline
+Content-Disposition: attachment
+Content-Disposition: attachment; filename="filename.jpg"
+ +

As a header for a multipart body (멀티파트 바디를 위한 헤더로서)

+ +

HTTP 구문의 첫번째 파라미터는 언제나 form-data입니다. 추가적인 파라미터들은 대소문자 구분이 없으며, '=' 다음에 "문자열로 표현한 아규먼트들"을 가집니다. 다중 파라미터들은 세미콜론 (';')으로 구분합니다.

+ +
Content-Disposition: form-data
+Content-Disposition: form-data; name="fieldName"
+Content-Disposition: form-data; name="fieldName"; filename="filename.jpg"
+ +

Directives (지시자들)

+ +
+
name
+
이름(name) 다음에 오는 문자열에는 이 서브파트가 참조하는 폼의 HTML 필드에서 사용한 그 이름이 들어갑니다. 같은 필드에 여러개의 파일이 있을 경우 (예 : {{HTMLElement("input","<input type=\"file\">")}} 요소의 {{htmlattrxref("multiple", "input")}} 속성), 같은 이름으로 여러개의 서브파트들이 존재할 수 있습니다.
+
name의 값이 '_charset_'인 것은 그 부분이 HTML필드가 아니라, charset을 명시하지 않고 사용할 수 있는 기본 charset임을 나타냅니다.
+
filename
+
파일명(filename) 다음에 오는 문자열에는 전송된 해당 파일의 원래 이름이 들어갑니다. 파일명은 언제나 선택사항이지만, 맹목적으로 쓰여서는 안됩니다 : 경로 정보가 공개되어야 하며, 서버 파일 시스템 규칙에 따라 전환되어야 합니다. 이러한 파라미터들은 대부분 지시적 정보(indicative information)를 제공합니다. 파일명이 Content-Disposition: attachment과 같이 사용되면 최종적으로 사용자가 "새이름으로저장(Save As)" 창에서 보게 되는 파일명의 기본값으로 사용됩니다.
+
filename*
+
+

"filename"과의 유일한 차이점은 "filename*"는 인코딩으로 RFC 5987을 사용한다는 것 뿐입니다. 하나의 헤더 필드에 "filename"과 "filename*"이 둘 다 사용된다면  "filename*"이 보다 우선됩니다.

+
+
+ +

Examples

+ +

A response triggering the "Save As" dialog:

+ +
200 OK
+Content-Type: text/html; charset=utf-8
+Content-Disposition: attachment; filename="cool.html"
+Content-Length: 21
+
+<HTML>Save me!</HTML>
+
+
+ +

This simple HTML file will be saved as a regular download rather than displayed in the browser. Most browsers will propose to save it under the cool.html filename (by default).

+ +

An example of an HTML form posted using the multipart/form-data format that makes use of the Content-Disposition header:

+ +
POST /test.html HTTP/1.1
+Host: example.org
+Content-Type: multipart/form-data;boundary="boundary"
+
+--boundary
+Content-Disposition: form-data; name="field1"
+
+value1
+--boundary
+Content-Disposition: form-data; name="field2"; filename="example.txt"
+
+value2
+--boundary--
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7578")}}Returning Values from Forms: multipart/form-data
{{RFC("6266")}}Use of the Content-Disposition Header Field in the Hypertext Transfer Protocol (HTTP)
{{RFC("2183")}}Communicating Presentation Information in Internet Messages: The Content-Disposition Header Field
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.Content-Disposition")}}

+ +

Compatibility notes

+ + + +

See also

+ + diff --git a/files/ko/web/http/headers/content-encoding/index.html b/files/ko/web/http/headers/content-encoding/index.html new file mode 100644 index 0000000000..e87da000ea --- /dev/null +++ b/files/ko/web/http/headers/content-encoding/index.html @@ -0,0 +1,94 @@ +--- +title: Content-Encoding +slug: Web/HTTP/Headers/Content-Encoding +translation_of: Web/HTTP/Headers/Content-Encoding +--- +
{{HTTPSidebar}}
+ +

Content-Encoding 개체 헤더는 미디어 타입을 압축하기 위해 사용됩니다. 이 헤더가 존재하면, 그 값은 개체 본문에 어떤 추가적인 컨텐츠 인코딩이 적용될지를 나타냅니다. 그것은 Content-Type 헤더에 의해 참조되는 미디어 타입을 얻도록 디코드하는 방법을 클라이언트가 알게 해줍니다.

+ +

가능한 더 많은 데이터를 압축하기 위해 이 필드의 사용이 권고되지만, jpeg 이미지와 같은 어떤 유형의 리소스들은 이미 압축되어 때때로 추가적인 압축이 별 소용이 없고 페이로드를 더 길게 만들수도 있습니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Content-Encoding: gzip
+Content-Encoding: compress
+Content-Encoding: deflate
+Content-Encoding: identity
+Content-Encoding: br
+
+ +

디렉티브

+ +
+
gzip
+
32비트 CRC를 지닌, Lempel-Ziv coding (LZ77)을 사용하는 포맷. 이는 본래 UNIX gzip 프로그램의 포맷입니다. HTTP/1.1 표준 역시 이 컨텐츠 인코딩을 지원하는 서버는 호환성 목적으로, x-gzip 별칭의 인지가 권고됩니다.
+
compress
+
Lempel-Ziv-Welch (LZW) 알고리즘을 사용하는 포맷. 그 값의 이름은 이 알고리즘을 구현한 UNIX compress 프로그램으로부터 가져왔습니다.
+ 대부분의 UNIX 배포판으로부터 사라져 왔던 압축 프로그램처럼, 이 content-encoding은 (2013년에 만료된)특허권 이슈로 오늘날의 브라우저에서 사용되지 않습니다.
+
deflate
+
(RFC 1951에 정의된) deflate 압축 알고리즘을 이용한, (RFC 1950에 정의된) zlib 스트럭쳐를 사용합니다.
+
identity
+
identity 함수를 나타냅니다(즉, 압축 없음 혹은 변경 없음). 이 토큰은, 명시적으로 지정된 경우를 제외하고, 항상 수용 가능하다고 여겨집니다.
+
br
+
Brotli 알고리즘을 사용하는 포맷.
+
+ +

예제

+ +

gzip을 이용해 압축하기

+ +

클라이언트 측에서, HTTP 요청 내에 함께 전송될 압축 스킴 목록을 알릴 수 있습니다. {{HTTPHeader("Accept-Encoding")}} 헤더는 컨텐츠 인코딩 협상을 위해 사용됩니다.

+ +
Accept-Encoding: gzip, deflate
+ +

서버는 사용한 스킴을 Content-Encoding 응답 헤더에 표시하여 응답합니다.

+ +
Content-Encoding: gzip
+ +

서버는 어떤 압축 방법도 사용하도록 강요받지 않는다는 것을 알아두시기 바랍니다. 압축은 서버 설정과 사용되는 서버 모듈에 상당히 의존적입니다.

+ +

명세

+ + + + + + + + + + + + + + + + +
명세제목
{{RFC("7231", "Content-Encoding", "3.1.2.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
http://www.ietf.org/id/draft-alakuijala-brotliBrotli Compressed Data Format
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/content-language/index.html b/files/ko/web/http/headers/content-language/index.html new file mode 100644 index 0000000000..b14724b515 --- /dev/null +++ b/files/ko/web/http/headers/content-language/index.html @@ -0,0 +1,92 @@ +--- +title: Content-Language +slug: Web/HTTP/Headers/Content-Language +translation_of: Web/HTTP/Headers/Content-Language +--- +
{{HTTPSidebar}}
+ +

Content-Language {{Glossary("entity header")}}는 청중을 위한 언어를 설명하기 위해 사용되는데, 사용자가 선호하는 언어에 따라 사용자를 구분하도록 해줍니다.

+ +

예를 들어, "Content-Language: de-DE"가 설정되면, 이는 문서가 독일어 발표자를 위해 만들어졌음을 의미합니다(하지만, 그것이 문서가 독일어로 쓰여졌음을 나타내지는 않습니다. 예를 들어, 독일인 발표자를 위한 언어 코스의 일부분이 영어로 작성된 것일 수도 있습니다).

+ +

Content-Language이 지정되지 않는다면, 모든 언어의 청중을 위해 만들어진 내용이라고 간주합니다. 다중 언어 태그 또한 가능한데다, 텍스트로 이루어진 문서 뿐만 아니라 여러 가지 미디어 타입에도 Content-Language 헤더가 적용됩니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Content-Language: de-DE
+Content-Language: en-US
+Content-Language: de-DE, en-CA
+
+ +

디렉티브

+ +
+
language-tag
+
다중 언어 태그는 쉼표로 구분됩니다. 각 언어 태그는 하이프 문자("-", %x2D)로 구분되는, 한 개 이상의 대소문자를 구분하지 않는 서브태그의 연속입니다. 대부분의 경우, 언어 태그는 관련 언어군 (예를 들어, "en" = English)을 나타내는 주요 언어로 구성되는데, 그 뒤에는 해당 언어의 범위를 정제하거나 좁혀주는 d일련의 서브태그가 올 수 있습니다 (예, "en-CA" = 캐나다에서 사용되는 영어의 변종).
+
+ +
+

알아둘 것: 언어 태그는 공식적으로 RFC 5646에 정의되어 있으며, 그에 이어 사용될 언어 코드에 대해서 ISO 639 표준이 있습니다(더 정확히는 ISO 639-1 코드 목록).

+
+ +

예제

+ +

문서가 작성된 언어 나타내기

+ +

글로벌 lang 어트리뷰는 HTML 엘리먼트 상에서 전체 HTML 문서 혹은 그의 일부의 언어를 나타내기 위해 사용됩니다.

+ +
<html lang="de">
+ +

다음과 같이 문서 언어를 나타내기 위해 이와 같은 메타 엘리먼트를 사용하지 마세요:

+ +
<!-- /!\ This is bad practice -->
+<meta http-equiv="content-language" content="de">
+ +

리소스에 대해 대상 청중 나타내기

+ +

Content-Language 헤더는 페이지의 대상 청중을 지정하는데 사용되며 한 개 이상의 언어를 나태낼 수 있습니다.

+ +
Content-Language: de, en
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Content-Language", "3.1.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/content-length/index.html b/files/ko/web/http/headers/content-length/index.html new file mode 100644 index 0000000000..1948679fec --- /dev/null +++ b/files/ko/web/http/headers/content-length/index.html @@ -0,0 +1,60 @@ +--- +title: Content-Length +slug: Web/HTTP/Headers/Content-Length +translation_of: Web/HTTP/Headers/Content-Length +--- +
{{HTTPSidebar}}
+ +

Content-Length 개체 헤더는 수신자에게 보내지는, 바이트 단위를 가지는 개체 본문의 크기를 나타냅니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Content-Length: <length>
+
+ +

디렉티브

+ +
+
<length>
+
octets에 대한 십진수 단위의 길이.
+
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7230", "Content-Length", "3.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Content-Length")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/content-location/index.html b/files/ko/web/http/headers/content-location/index.html new file mode 100644 index 0000000000..08281873d6 --- /dev/null +++ b/files/ko/web/http/headers/content-location/index.html @@ -0,0 +1,66 @@ +--- +title: Content-Location +slug: Web/HTTP/Headers/Content-Location +translation_of: Web/HTTP/Headers/Content-Location +--- +
{{HTTPSidebar}}
+ +

Content-Location 헤더는 반환된 데이터에 대한 대체 위치을 가르킵니다. 주된 유스케이스는 컨텐츠 협상의 결과로써 전달되는 리소스의 URL을 가르키는 것입니다.

+ +

{{HTTPHeader("Location")}}과 Content-Location는 다릅니다: {{HTTPHeader("Location")}}가 리다이렉션의 대상(혹은 새롭게 만들어진 문서의 URL)을 가르키는데 반해, Content-Location은 더 이상의 컨텐츠 협상없이, 리소스 접근에 필요한 직접적인 URL을 가르킵니다. Location은 응답과 연관된 헤더인데 반해, Content-Location 은 반환된 개체와 연관이 있습니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Content-Location: <url>
+
+ +

디렉티브

+ +
+
<url>
+
(요청 URL에 대해) 상대적이거나 혹은 절대적인 URL.
+
+ +

예제

+ +
Content-Location: /index.html
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Content-Location", "3.1.4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/content-range/index.html b/files/ko/web/http/headers/content-range/index.html new file mode 100644 index 0000000000..0020ce93e9 --- /dev/null +++ b/files/ko/web/http/headers/content-range/index.html @@ -0,0 +1,89 @@ +--- +title: Content-Range +slug: Web/HTTP/Headers/Content-Range +tags: + - HTTP + - HTTP 헤더 + - 응답 헤더 + - 참고자료 + - 헤더 +translation_of: Web/HTTP/Headers/Content-Range +--- +
{{HTTPSidebar}}
+ +

Content-Range HTTP 응답 헤더는 전체 바디 메시지에 속한 부분 메시지의 위치를 알려줍니다.

+ + + + + + + + + + + + + + + + +
헤더 타입{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}아니오
{{Glossary("Simple response header", "CORS-safelisted response-header")}}아니오
+ +

문법

+ +
Content-Range: <unit> <range-start>-<range-end>/<size>
+Content-Range: <unit> <range-start>-<range-end>/*
+Content-Range: <unit> */<size>
+ +

지시자

+ +
+
<unit>
+
단위는 범위를 지정합니다. 보통 bytes를 사용합니다.
+
+ +
+
<range-start>
+
범위 요청의 시작을 알려주는 정수 단위.
+
<range-end>
+
범위 요청의 끝을 알려주는 정수 단위.
+
<size>
+
문서의 총 크기(또는 모른다면 '*')
+
+ +

예제

+ +
Content-Range: bytes 200-1000/67589
+
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7233", "Content-Range", "4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Content-Range")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/content-security-policy/default-src/index.html b/files/ko/web/http/headers/content-security-policy/default-src/index.html new file mode 100644 index 0000000000..d3c21caf18 --- /dev/null +++ b/files/ko/web/http/headers/content-security-policy/default-src/index.html @@ -0,0 +1,149 @@ +--- +title: 'CSP: default-src' +slug: Web/HTTP/Headers/Content-Security-Policy/default-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src +--- +
+

{{HTTPSidebar}}

+ +

HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) default-src 구문은 다른  CSP 구문이 정의되지 않았을때 이를 대체하는 용도로 사용됩니다.  as a fallback for the other CSP {{Glossary("fetch directive", "fetch directives")}}. 다음과 같은 구문이 없는 경우,  default-src 구문을 찾아서 사용합니다:

+ + + + + + + + + + + + + + +
CSP version1
Directive type{{Glossary("Fetch directive")}}
+ +

Syntax

+ +

하나 이상의 출처가 default-src 정책에 의해서 허용될 수 있습니다:

+ +
Content-Security-Policy: default-src <source>;
+Content-Security-Policy: default-src <source> <source>;
+
+ +

Sources

+ +

<source> 에는 다음에 항목이 포함됩니다. 

+ +
+
<host-source>
+
부수적으로 URL scheme 및/또는 port 번호가 포함된 도메인 또는 IP 주소와 같은 인터넷 호스트, 또한 사이트의 주소 및 포트에 와일트 카드를 사용할 수 도 있습니다 ('*'), 이를 사용하면 모든 주소 또는 포트에서의 유효함을 나타냅니다.
+ 예: +
    +
  • http://*.example.com:  http: 를 사용하는 모든 서브도메인에서 매칭됩
  • +
  • mail.example.com:443: 443 포트로 mail.example.com에 접근하는 경우 매칭됨
  • +
  • https://store.example.com: store.example.com를 https:로 접근하는 경우 매칭됨
  • +
+
+
<scheme-source>
+
 'http:' 또는 'https:'와 같은 스키마. 콜론이 필수적이며, 작은 따음표는 사용하지 않아야 합니다.  스키마도 지정할 수 있습니다 (추천하지 않음). +
    +
  • data:data: URIs 를 컨텐츠 출처로 허용합니다. 이것은 안전하지 않습니다. 공격자가 임의의 데이터를 주입할 수도 있기 때문에 script에는 사용하지 마십시오.
  • +
  • mediastream:mediastream: URIs 을 콘텐츠 출처로 허용합니다.
  • +
  • blob:blob: URIs을 콘텐츠 출처로 허용합니다.
  • +
  • filesystem:filesystem: URIs 을 콘텐츠 출처로 허용합니다.
  • +
+
+
'self'
+
동일한 URL 체계와 포트를 포함하여 보호되는 파일의 원본을 참조합니다.  작은 따음표가 필수적으로 있어야 합니다. 일부 브라우저에서는 blobfilesystem 를 source 지시문에서 제외합니다. 이러한 콘텐츠 타입을 허용해야 하는 사이트는 데이터 attribute를 사용하여 지정할 수 있습니다.
+
'unsafe-inline'
+
인라인 {{HTMLElement("script")}} 태그, javascript: URLs, 인라인 이벤트 핸들러, 그리고 인라인 {{HTMLElement("style")}} 태그와 같은 인라인 요소들을 모두 허용합니다. 작은 따음표를 사용해야만 합니다.
+
'unsafe-eval'
+
eval() 및 문자열에서 코드를 생성하는 함수의 사용을 허용합니다. 작은 따음표를 사용해야만 합니다.
+
'none'
+
아무것도 참조 되지 않습니다. 즉 아무런 URL도 매치되지 않습니다. 작은 따음표를 사용해야만 합니다.
+
'nonce-<base64-value>'
+
암호화 nonce 값을 이용하여 특정 인라인 스크립트에 대하여 허용합니다(nonce는 한번만 사용). 서버는 CSP정책을 전송할 때마다 고유한 nonce를 생성해야만 합니다. 리소스 정책을 우회하는 것은 간단한 일이기 때문에 의심 할 여지가 없는 nonce 값을 제공하는 것이 중요합니다. unsafe inline script 예제를 참고해주세요. nonce는 'unsafe-inline' 와 함께 사용할 경우 모던 브라우저에서는 사용하게 되면  'unsafe-inline'가 무시되지만, 구형 브라우저에서는 nonce가 적용되지 않습니다.
+
'<hash-algorithm>-<base64-value>'
+
스크립트 또는 스타일의  sha256, sha384 or sha512 해쉬. 이것은 대쉬: 로 구분된 해쉬를 사용된 암호화 알고리즘과 base64로 인코딩한 스크립트 및 스타일로 구성됩니다. 해쉬를 생성할 때 절대로 <script> 또는 <style> 태그를 포함하지말고 대소문자와 앞 뒤의 공백을 주의해야 합니다.unsafe inline script 예제를 참고해주세요. CSP 2.0에서는 인라인 스크립트에서만 적용 가능하지만,  CSP 3.0에서는 외부 스크립트를 script-src 에서 허용하기 위해서 사용합니다.
+
'strict-dynamic'
+
The strict-dynamic source expression specifies that the trust explicitly given to a script present in the markup, by accompanying it with a nonce or a hash, shall be propagated to all the scripts loaded by that root script. At the same time, any whitelist or source expressions such as 'self' or 'unsafe-inline' will be ignored. See script-src for an example.
+
+ +

Examples

+ +

default-src의 상속 불가

+ +

다른 구문이 지정되면 default-src는 더 이상 영향을 주지 않습니다. 아래의 헤더는 

+ +
Content-Security-Policy: default-src 'self'; script-src https://example.com
+ +

다음과 같습니다:

+ +
Content-Security-Policy: connect-src 'self';
+                         font-src 'self';
+                         frame-src 'self';
+                         img-src 'self';
+                         manifest-src 'self';
+                         media-src 'self';
+                         object-src 'self';
+                         script-src https://example.com;
+                         style-src 'self';
+                         worker-src 'self'
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-default-src", "default-src")}}{{Spec2('CSP 3.0')}}Added frame-src, manifest-src and worker-src as defaults.
{{specName("CSP 1.1", "#directive-default-src", "default-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ +

The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.

+ +

{{Compat("http.headers.csp.default-src")}}

+ +

See also

+ + +
diff --git a/files/ko/web/http/headers/content-security-policy/img-src/index.html b/files/ko/web/http/headers/content-security-policy/img-src/index.html new file mode 100644 index 0000000000..bd959a91db --- /dev/null +++ b/files/ko/web/http/headers/content-security-policy/img-src/index.html @@ -0,0 +1,84 @@ +--- +title: 'CSP: img-src' +slug: Web/HTTP/Headers/Content-Security-Policy/img-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src +--- +
{{HTTPSidebar}}
+ +

The HTTP {{HTTPHeader("Content-Security-Policy")}}: img-src 지시어는 이미지 및 파비콘에 대하여 유효한 출처를 지정합니다.

+ + + + + + + + + + + + + + + + +
CSP version1
Directive type{{Glossary("Fetch directive")}}
{{CSP("default-src")}} fallbackYes. If this directive is absent, the user agent will look for the default-src directive.
+ +

Syntax

+ +

img-src 정책에 대해 하나 이상의 출처를 허용 할 수 있습니다.

+ +
Content-Security-Policy: img-src <source>;
+Content-Security-Policy: img-src <source> <source>;
+
+ +

Sources

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

Examples

+ +

Violation cases

+ +

CSP 헤더가 주어질 때:

+ +
Content-Security-Policy: img-src https://example.com/
+ +

아래의 {{HTMLElement("img")}} 태그가 차단되어 불러오지 않습니다:

+ +
<img src="https://not-example.com/foo.jpg" alt="example picture">
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-img-src", "img-src")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-img-src", "img-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.img-src")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/content-security-policy/index.html b/files/ko/web/http/headers/content-security-policy/index.html new file mode 100644 index 0000000000..22c869ef5c --- /dev/null +++ b/files/ko/web/http/headers/content-security-policy/index.html @@ -0,0 +1,259 @@ +--- +title: Content-Security-Policy +slug: Web/HTTP/Headers/Content-Security-Policy +tags: + - CSP + - HTTP + - Reference + - Security + - header +translation_of: Web/HTTP/Headers/Content-Security-Policy +--- +
{{HTTPSidebar}}
+ +

The HTTP Content-Security-Policy response header allows web site administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints. This helps guard against cross-site scripting attacks ({{Glossary("XSS")}}).

+ +

For more information, see the introductory article on Content Security Policy (CSP).

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

Syntax

+ +
Content-Security-Policy: <policy-directive>; <policy-directive>
+
+ +

Directives

+ +

{{Glossary("Fetch directive", "Fetch directives")}}

+ +

Fetch directives control locations from which certain resource types may be loaded.

+ +

List of Content Security Policy Fetch directives

+ +
+
{{CSP("child-src")}}
+
Defines the valid sources for web workers and nested browsing contexts loaded using elements such as {{HTMLElement("frame")}} and {{HTMLElement("iframe")}}. +
+

Instead of child-src, authors who wish to regulate nested browsing contexts and workers should use the {{CSP("frame-src")}} and {{CSP("worker-src")}} directives, respectively.

+
+
+
{{CSP("connect-src")}}
+
Restricts the URLs which can be loaded using script interfaces
+
{{CSP("default-src")}}
+
Serves as a fallback for the other {{Glossary("Fetch directive", "fetch directives")}}.
+
{{CSP("font-src")}}
+
Specifies valid sources for fonts loaded using {{cssxref("@font-face")}}.
+
{{CSP("frame-src")}}
+
Specifies valid sources for nested browsing contexts loading using elements such as {{HTMLElement("frame")}} and {{HTMLElement("iframe")}}.
+
{{CSP("img-src")}}
+
Specifies valid sources of images and favicons.
+
{{CSP("manifest-src")}}
+
Specifies valid sources of application manifest files.
+
{{CSP("media-src")}}
+
Specifies valid sources for loading media using the {{HTMLElement("audio")}} , {{HTMLElement("video")}} and {{HTMLElement("track")}} elements.
+
{{CSP("object-src")}}
+
Specifies valid sources for the {{HTMLElement("object")}}, {{HTMLElement("embed")}}, and {{HTMLElement("applet")}} elements.
+
Elements controlled by object-src are perhaps coincidentally considered legacy HTML elements and are not recieving new standardized features (such as the security attributes sandbox or allow for <iframe>). Therefore it is recommended to restrict this fetch-directive (e.g. explicitly set object-src 'none' if possible).
+
{{CSP("prefetch-src")}}{{experimental_inline}}
+
Specifies valid sources to be prefetched or prerendered.
+
{{CSP("script-src")}}
+
Specifies valid sources for JavaScript.
+
{{CSP("script-src-elem")}}{{experimental_inline}}
+
Specifies valid sources for JavaScript {{HTMLElement("script")}} elements.
+
{{CSP("script-src-attr")}}{{experimental_inline}}
+
Specifies valid sources for JavaScript inline event handlers.
+
+ +
+
{{CSP("style-src")}}
+
Specifies valid sources for stylesheets.
+
{{CSP("style-src-elem")}}{{experimental_inline}}
+
Specifies valid sources for stylesheets {{HTMLElement("style")}} elements and {{HTMLElement("link")}} elements with rel="stylesheet".
+
{{CSP("style-src-attr")}}{{experimental_inline}}
+
Specifies valid sources for inline styles applied to individual DOM elements.
+
{{CSP("worker-src")}}{{experimental_inline}}
+
Specifies valid sources for {{domxref("Worker")}}, {{domxref("SharedWorker")}}, or {{domxref("ServiceWorker")}} scripts.
+
+ +

{{Glossary("Document directive", "Document directives")}}

+ +

Document directives govern the properties of a document or worker environment to which a policy applies.

+ +

List of Content Security Policy Document directives

+ +
+
{{CSP("base-uri")}}
+
Restricts the URLs which can be used in a document's {{HTMLElement("base")}} element.
+
{{CSP("plugin-types")}}
+
Restricts the set of plugins that can be embedded into a document by limiting the types of resources which can be loaded.
+
{{CSP("sandbox")}}
+
Enables a sandbox for the requested resource similar to the {{HTMLElement("iframe")}} {{htmlattrxref("sandbox", "iframe")}} attribute.
+
+ + + +

Navigation directives govern to which location a user can navigate to or submit a form to, for example.

+ +

List of Content Security Policy Navigation directives

+ +
+
{{CSP("form-action")}}
+
Restricts the URLs which can be used as the target of a form submissions from a given context.
+
{{CSP("frame-ancestors")}}
+
Specifies valid parents that may embed a page using {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, or {{HTMLElement("applet")}}.
+
{{CSP("navigate-to")}}{{experimental_inline}}
+
Restricts the URLs to which a document can initiate navigation by any means, including {{HTMLElement("form")}} (if {{CSP("form-action")}} is not specified), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc.
+
+ +

{{Glossary("Reporting directive", "Reporting directives")}}

+ +

Reporting directives control the reporting process of CSP violations. See also the {{HTTPHeader("Content-Security-Policy-Report-Only")}} header.

+ +

List of Content Security Policy Reporting directives

+ +
+
{{CSP("report-uri")}}{{deprecated_inline}}
+
Instructs the user agent to report attempts to violate the Content Security Policy. These violation reports consist of {{Glossary("JSON")}} documents sent via an HTTP POST request to the specified URI. +
+

Though the {{CSP("report-to")}} directive is intended to replace the deprecated report-uri directive, {{CSP("report-to")}} is not supported in most browsers yet. So for compatibility with current browsers while also adding forward compatibility when browsers get {{CSP("report-to")}} support, you can specify both report-uri and {{CSP("report-to")}}:

+ +
Content-Security-Policy: ...; report-uri https://endpoint.example.com; report-to groupname
+ +

In browsers that support {{CSP("report-to")}}, the report-uri directive will be ignored.

+
+
+
{{CSP("report-to")}}{{experimental_inline}}
+
Fires a SecurityPolicyViolationEvent.
+
+ +

Other directives

+ +
+
{{CSP("block-all-mixed-content")}}
+
Prevents loading any assets using HTTP when the page is loaded using HTTPS.
+
{{CSP("referrer")}}{{deprecated_inline}}{{non-standard_inline}}
+
Used to specify information in the referer (sic) header for links away from a page. Use the {{HTTPHeader("Referrer-Policy")}} header instead.
+
{{CSP("require-sri-for")}}{{experimental_inline}}
+
Requires the use of {{Glossary("SRI")}} for scripts or styles on the page.
+
{{CSP("require-trusted-types-for")}}{{experimental_inline}}
+
Enforces Trusted Types at the DOM XSS injection sinks.
+
+ +
+
{{CSP("trusted-types")}}{{experimental_inline}}
+
Used to specify a whitelist of Trusted Types policies (Trusted Types allows applications to lock down DOM XSS injection sinks to only accept non-spoofable, typed values in place of strings).
+
+ +
+
{{CSP("upgrade-insecure-requests")}}
+
Instructs user agents to treat all of a site's insecure URLs (those served over HTTP) as though they have been replaced with secure URLs (those served over HTTPS). This directive is intended for web sites with large numbers of insecure legacy URLs that need to be rewritten.
+
+ +

CSP in workers

+ +

Workers are in general not governed by the content security policy of the document (or parent worker) that created them. To specify a content security policy for the worker, set a Content-Security-Policy response header for the request which requested the worker script itself.

+ +

The exception to this is if the worker script's origin is a globally unique identifier (for example, if its URL has a scheme of data or blob). In this case, the worker does inherit the content security policy of the document or worker that created it.

+ +

Multiple content security policies

+ +

CSP allows multiple policies being specified for a resource, including via the Content-Security-Policy header, the {{HTTPHeader("Content-Security-Policy-Report-Only")}} header and a {{HTMLElement("meta")}} element.

+ +

You can use the Content-Security-Policy header more than once like in the example below. Pay special attention to the {{CSP("connect-src")}} directive here. Even though the second policy would allow the connection, the first policy contains connect-src 'none'. Adding additional policies can only further restrict the capabilities of the protected resource, which means that there will be no connection allowed and, as the strictest policy, connect-src 'none' is enforced.

+ +
Content-Security-Policy: default-src 'self' http://example.com;
+                         connect-src 'none';
+Content-Security-Policy: connect-src http://example.com/;
+                         script-src http://example.com/
+ +

Examples

+ +

Example: Disable unsafe inline/eval, only allow loading of resources (images, fonts, scripts, etc.) over https:

+ +
// header
+Content-Security-Policy: default-src https:
+
+// meta tag
+<meta http-equiv="Content-Security-Policy" content="default-src https:">
+
+ +

Example: Pre-existing site that uses too much inline code to fix but wants to ensure resources are loaded only over https and disable plugins:

+ +
Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'
+ +

Example: Do not implement the above policy yet; instead just report violations that would have occurred:

+ +
Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

See Mozilla Web Security Guidelines for more examples.

+ +

Specifications

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0")}}{{Spec2("CSP 3.0")}}Adds manifest-src, navigate-to, report-to, strict-dynamic, worker-src. Undeprecates frame-src. Deprecates report-uri in favor if report-to.
{{specName("Mixed Content")}}{{Spec2("Mixed Content")}}Adds block-all-mixed-content.
{{specName("Subresource Integrity")}}{{Spec2("Subresource Integrity")}}Adds require-sri-for.
{{specName("Upgrade Insecure Requests")}}{{Spec2("Upgrade Insecure Requests")}}Adds upgrade-insecure-requests.
{{specName("CSP 1.1")}}{{Spec2("CSP 1.1")}}Adds base-uri, child-src, form-action, frame-ancestors, plugin-types, referrer, and report-uri. Deprecates frame-src.
{{specName("CSP 1.0")}}{{Spec2("CSP 1.0")}}Defines connect-src, default-src, font-src, frame-src, img-src, media-src, object-src, report-uri, sandbox, script-src, and style-src.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.Content-Security-Policy")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/content-security-policy/report-to/index.html b/files/ko/web/http/headers/content-security-policy/report-to/index.html new file mode 100644 index 0000000000..2fe0b56b97 --- /dev/null +++ b/files/ko/web/http/headers/content-security-policy/report-to/index.html @@ -0,0 +1,80 @@ +--- +title: report-to +slug: Web/HTTP/Headers/Content-Security-Policy/report-to +translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to +--- +

 

+ +

Report-To HTTP 응답 해더 필드는 사용자 에이전트(브라우저)가 레포트를 저장하기 위한 origin의 엔드포인트를 지정합니다.

+ +
Content-Security-Policy: ...; report-to groupname
+
+ +

 

+ +

이 지시어 자체로는 효과는 없지만 다른 지시문과 조합하여 의미를 가질 수 있습니다.

+ + + + + + + + + + + + + + + +
CSP version1
Directive type{{Glossary("Reporting directive")}}
This directive is not supported in the {{HTMLElement("meta")}} element.
+ +

Syntax

+ +
Content-Security-Policy: report-to <json-field-value>;
+ +

Examples

+ +

더 자세한 정보와 예제는 {{HTTPHeader("Content-Security-Policy-Report-Only")}} 를 확인하세요.

+ +
Report-To: { "group": "csp-endpoint",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/csp-reports" }
+             ] },
+           { "group": "hpkp-endpoint",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/hpkp-reports" }
+             ] }
+Content-Security-Policy: ...; report-to csp-endpoint
+
+ +

 

+ +
Report-To: { "group": "endpoint-1",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/reports" },
+               { "url": "https://backup.com/reports" }
+             ] }
+
+Content-Security-Policy: ...; report-to endpoint-1
+ +

 

+ +

브라우저 호환성

+ +

이 페이지의 호환성 테이블은 구조화된 데이터에서 생성됩니다. 데이터에 기여하고 싶다면 https://github.com/mdn/browser-compat-data 를 확인하고 pull request를 보내주세요.

+ +

{{Compat("http.headers.csp.report-to")}}

+ +

See also

+ + + +

 

diff --git a/files/ko/web/http/headers/content-security-policy/script-src/index.html b/files/ko/web/http/headers/content-security-policy/script-src/index.html new file mode 100644 index 0000000000..98999637aa --- /dev/null +++ b/files/ko/web/http/headers/content-security-policy/script-src/index.html @@ -0,0 +1,167 @@ +--- +title: 'CSP: script-src' +slug: Web/HTTP/Headers/Content-Security-Policy/script-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src +--- +
{{HTTPSidebar}}
+ +

HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src 는 자바스크립트트에 대한 검증된 출처를 지정합니다. 여기에는 {{HTMLElement("script")}} 요소에서 직접 호출한 URL뿐만 아니라,  인라인 스크립트  이벤트 핸들러(onclick) 및 스크립트를 실행할 수 있는  XSLT stylesheets 가 포함됩니다.

+ + + + + + + + + + + + + + + + +
CSP version1
Directive type{{Glossary("Fetch directive")}}
{{CSP("default-src")}} fallbackYes. If this directive is absent, the user agent will look for the default-src directive.
+ +

Syntax

+ +

하나 이상의 출처가 script-src 정책에 의해서 허용될 수 있습니다:

+ +
Content-Security-Policy: script-src <source>;
+Content-Security-Policy: script-src <source> <source>;
+
+ +

Sources

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +
+
'report-sample'
+
 Report에 위반 코드 샘플을 포함시키려면 이 항목을 추가 해야 합니다.
+
+ +

예제

+ +

Violation case

+ +

주어진 CSP 헤더:

+ +
Content-Security-Policy: script-src https://example.com/
+ +

아래 스크립트가 차단되어서 로드 또는 실행되지 않습니다:

+ +
<script src="https://not-example.com/js/library.js"></script>
+ +

인라인 스크립트도 실행되지 않습니다:

+ +
<button id="btn" onclick="doSomething()">
+ +

{{domxref("EventTarget.addEventListener", "addEventListener")}}를 호출하는 것으로 대체해야 합니다.:

+ +
document.getElementById("btn").addEventListener('click', doSomething);
+ +

안전하지 않은 인라인 스크립트

+ +
+

Note: 인라인 스타일 및 인라인 스크립트를 허용하지 않는 것이 CSP가 제공하는 가장 큰 보안 이점 중 하나 입니다. 그러나, 인라인 스크립트 및 스타일을 사용해야만 한다면 몇가지 방법을 제공합니다.

+
+ +

인라인 스크립트 및 인라인 이벤트 핸들러를 허용하려면, 'unsafe-inline',  인라인 태그에 정의한 값과 동일한 nonce-source 또는 hash-source를 지정할 수 있습니다.

+ +
Content-Security-Policy: script-src 'unsafe-inline';
+
+ +

위의 CSP는 {{HTMLElement("script")}} 태그를 허용합니다

+ +
<script>
+  var inline = 1;
+</script>
+ +

nonce-source를 사용하면 특정 인라인 스크립트 태그만 허용 할 수 있습니다:

+ +
Content-Security-Policy: script-src 'nonce-2726c7f26c'
+ +

{{HTMLElement("script")}} 태그에 동일한 nonce를 설정해야 합니다 :

+ +
<script nonce="2726c7f26c">
+  var inline = 1;
+</script>
+ +

또는, 인라인 스크립트에서 해시를 설정할 수 도 있습니다. CSP는 sha256, sha384 and sha512를 지원합니다.

+ +
Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='
+ +

해시를 생성할 때에는 {{HTMLElement("script")}} 태그를 포함하지 말고, 대소문자, 태그의 앞뒤 공백이 포함되어야 하는 것을 유의해주십시요.

+ +
<script>var inline = 1;</script>
+ +

안전하지 않은 eval 표현식

+ +

'unsafe-eval' 출처 표현식은 문자열에서 코드를 생성하는 여러 스크립트 실행 메소드를 제어합니다.  만약'unsafe-eval' 이  script-src 에 정의되어 있지 않으면, 아래믜 명령어는 차단되며 아무런 효과가 일어나지 않습니다.

+ + + +

strict-dynamic

+ +

The 'strict-dynamic' source expression specifies that the trust explicitly given to a script present in the markup, by accompanying it with a nonce or a hash, shall be propagated to all the scripts loaded by that root script. At the same time, any whitelist or source expressions such as 'self' or 'unsafe-inline' will be ignored. For example, a policy such as script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/ would allow loading of a root script with <script nonce="R4nd0m" src="https://example.com/loader.js">  and propogate that trust to any script loaded by loader.js, but disallow loading scripts from https://whitelisted.com/ unless accompanied by a nonce or loaded from a trusted script.

+ +
script-src 'strict-dynamic' 'nonce-someNonce'
+ +

Or

+ +
script-src 'strict-dynamic' 'sha256-base64EncodedHash'
+ +

It is possible to deploy strict-dynamic in a backwards compatible way, without requiring user-agent sniffing.
+ The policy:

+ +
script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'
+ +

will act like'unsafe-inline' https: in browsers that support CSP1, https: 'nonce-abcdefg' in browsers that support CSP2, and 'nonce-abcdefg' 'strict-dynamic' in browsers that support CSP3.

+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-script-src", "script-src")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-script-src", "script-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.script-src")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/content-type/index.html b/files/ko/web/http/headers/content-type/index.html new file mode 100644 index 0000000000..494b9e0ad7 --- /dev/null +++ b/files/ko/web/http/headers/content-type/index.html @@ -0,0 +1,108 @@ +--- +title: Content-Type +slug: Web/HTTP/Headers/Content-Type +translation_of: Web/HTTP/Headers/Content-Type +--- +
{{HTTPSidebar}}
+ +

Content-Type 개체 헤더는 리소스의 {{Glossary("MIME type","media type")}}을 나타내기 위해 사용됩니다.

+ +

응답 내에 있는 Content-Type 헤더는 클라이언트에게 반환된 컨텐츠의 컨텐츠 유형이 실제로 무엇인지를 알려줍니다. 브라우저들은 어떤 경우에는 MIME 스니핑을 해서 이 헤더의 값을 꼭 따르지는 않을 겁니다; 이를 막기 위해, {{HTTPHeader("X-Content-Type-Options")}} 헤더를  nosniff으로 설정할 수 있습니다.

+ +

요청 내에서, ({{HTTPMethod("POST")}} 혹은 {{HTTPMethod("PUT")}}처럼), 클라이언트는 서버에게 어떤 유형의 데이터가 실제로 전송됐는지를 알려줍니다.

+ + + + + + + + + + + + +
헤더 유형{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Content-Type: text/html; charset=utf-8
+Content-Type: multipart/form-data; boundary=something
+
+ +

디렉티브

+ +
+
media-type
+
리소스 혹은 데이터의 MIME type.
+
charset
+
문자 인코딩 표준.
+
boundary
+
멀티파트 개체에 대해 boundary 디렉티브는 필수인데, 이메일 게이트를 통해 매우 탄탄해졌다고 알려진 캐릭터셋의 1~70개의 문자들로 구성되며, 빈 공백으로 끝나지 않습니다. 이는 메시지의 멀티 파트 경계선을 캡슐화하기 위해 사용됩니다.
+
+ +

예제

+ +

Content-Type in HTML forms

+ +

HTML 폼 전송으로 일어나는 {{HTTPMethod("POST")}} 요청 내에서, 요청의 Content-Type은 {{HTMLElement("form")}} 요소 상의 enctype 속성에 의해 지정됩니다.

+ +
<form action="/" method="post" enctype="multipart/form-data">
+  <input type="text" name="description" value="some text">
+  <input type="file" name="myFile">
+  <button type="submit">Submit</button>
+</form>
+
+ +

요청은 다음과 같을 겁니다(여기서 설명할 필요가 없는 헤더들은 생략되었습니다):

+ +
POST /foo HTTP/1.1
+Content-Length: 68137
+Content-Type: multipart/form-data; boundary=---------------------------974767299852498929531610575
+Content-Disposition: form-data; name="description"
+---------------------------974767299852498929531610575
+
+some text
+
+---------------------------974767299852498929531610575
+Content-Disposition: form-data; name="myFile"; filename="foo.txt"
+Content-Type: text/plain
+
+(content of the uploaded file foo.txt)
+
+---------------------------974767299852498929531610575--
+
+ +

명세

+ + + + + + + + + + + + + + + + +
명세제목
{{RFC("7233", "Content-Type in multipart", "4.1")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
{{RFC("7231", "Content-Type", "3.1.1.5")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/cookie/index.html b/files/ko/web/http/headers/cookie/index.html new file mode 100644 index 0000000000..d3417b58d6 --- /dev/null +++ b/files/ko/web/http/headers/cookie/index.html @@ -0,0 +1,66 @@ +--- +title: Cookie +slug: Web/HTTP/Headers/Cookie +translation_of: Web/HTTP/Headers/Cookie +--- +
{{HTTPSidebar}}
+ +

Cookie HTTP 요청 헤더는 {{HTTPHeader("Set-Cookie")}} 헤더와 함께 서버에 의해 이전에 전송되어 저장된 HTTP cookies를 포함합니다.

+ +

Cookie 헤더는 선택적(optional)이고, 만약 브라우저의 사생활 보호 설정(privacy settings)이 쿠키를 block할 경우 생략될 수도 있습니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Cookie: <cookie-list>
+Cookie: name=value
+Cookie: name=value; name2=value2; name3=value3
+ +
+
<cookie-list>
+
<cookie-name>=<cookie-value> 형태를 띄는 이름-값 쌍의 목록입니다. 목록 내 쌍들은 세미콜록과 공백('; ')으로 구분됩니다.
+
+ +

예제

+ +
Cookie: PHPSESSID=298zf09hf012fh2; csrftoken=u32t4o3tb3gg43; _gat=1;
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("6265", "Cookie", "5.4")}}HTTP State Management Mechanism
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Cookie")}}

+ +

함께 참고할 내용들

+ + diff --git a/files/ko/web/http/headers/date/index.html b/files/ko/web/http/headers/date/index.html new file mode 100644 index 0000000000..d67d42ebc8 --- /dev/null +++ b/files/ko/web/http/headers/date/index.html @@ -0,0 +1,81 @@ +--- +title: Date +slug: Web/HTTP/Headers/Date +translation_of: Web/HTTP/Headers/Date +--- +
{{HTTPSidebar}}
+ +

Date 일반 HTTP 헤더는 메시지가 만들어진 날짜와 시간을 포함합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Date: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

디렉티브

+ +
+
<day-name>
+
"Mon", "Tue", "Wed", "Thu", "Fri", "Sat", 혹은 "Sun" 중 하나 (대소문자 구분).
+
<day>
+
2자리의 일자 번호, 예를 들어 "04" 혹은 "23".
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 중 하나 (대소문자 구분).
+
<year>
+
4자리의 연도 번호, 예를 들어, "1990" 혹은 "2016".
+
<hour>
+
2자리의 시간 번호, 예를 들어, "09" 혹은 "23".
+
<minute>
+
2자리의 분 번호, 예를 들어, "04" 혹은 "59".
+
<second>
+
2자리의 초 번호, 예를 들어, "04" 혹은 "59".
+
GMT
+
+

Greenwich 표준시. HTTP에서 날짜는 항상 지역 시간이 아닌 GMT로 표현됩니다.

+
+
+ +

예제

+ +
Date: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Date", "7.1.1.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/dnt/index.html b/files/ko/web/http/headers/dnt/index.html new file mode 100644 index 0000000000..ce5f0d3447 --- /dev/null +++ b/files/ko/web/http/headers/dnt/index.html @@ -0,0 +1,83 @@ +--- +title: DNT +slug: Web/HTTP/Headers/DNT +translation_of: Web/HTTP/Headers/DNT +--- +
{{HTTPSidebar}}
+ +

DNT (Do Not Track) 요청 헤더는 사용자의 트래킹 선호 설정을 가르킵니다. 이는 개인화 컨텐츠가 아닌 사생활 정보를 더 It lets users indicate whether would prefer privacy rather than personalized content.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
DNT: 0
+DNT: 1
+
+ +

디렉티브

+ +
+
0
+
사용자가 대상 사이트에 대해 트래킹을 허용하는 것을 말합니다.
+
1
+
사용자가 대상 사이트에 대해 트래킹을 원하지 않는 것을 말합니다.
+
+ +

예제

+ +

JavaScript를 통해 Do Not Track 상태 읽기

+ +

사용자의 DNT 선호 설정은 {{domxref("Navigator.doNotTrack")}} 프로퍼티를 사용해 JavaScript로도 읽을 수 있씁니다:

+ +
navigator.doNotTrack; // "0" or "1"
+ +

명세서

+ + + + + + + + + + + + + + +
명세상태주석
{{SpecName('Tracking','#dnt-header-field', 'DNT Header Field for HTTP Requests')}}{{Spec2("Tracking")}}Initial definition.
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/etag/index.html b/files/ko/web/http/headers/etag/index.html new file mode 100644 index 0000000000..ef3d25d221 --- /dev/null +++ b/files/ko/web/http/headers/etag/index.html @@ -0,0 +1,99 @@ +--- +title: ETag +slug: Web/HTTP/Headers/ETag +translation_of: Web/HTTP/Headers/ETag +--- +
{{HTTPSidebar}}
+ +

ETag HTTP 응답 헤더는 특정 버전의 리소스를 식별하는 식별자입니다. 웹 서버가 내용을 확인하고 변하지 않았으면, 웹 서버로 full 요청을 보내지 않기 때문에, 캐쉬가 더 효율적이게 되고, 대역폭도 아낄 수 있습니다. 허나, 만약 내용이 변경되었다면, "mid-air collisions" 이라는 리소스 간의 동시 다발적 수정 및 덮어쓰기 현상을 막는데 유용하게 사용됩니다.

+ +

만약 특정 URL 의 리소스가 변경된다면, 새로운 ETag 가 생성됩니다. ETag 는 지문과 같은 역할을 하면서 다른 서버들이 추적하는 용도에 이용되기도 합니다. ETag 를 비교하여 리소스가 서로 같은지의 여부를 빠르게 판단할 수 있지만, 서버에서 무기한으로 지속될 수 있도록 설정할 수도 있습니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
ETag: W/"<etag_value>"
+ETag: "<etag_value>"
+
+ +

참고

+ +
+
W/ {{optional_inline}}
+
'W/' (대/소문자를 구분합니다.) weak validator 가 사용되었음을 나타냅니다. Weak validators 는 만들기는 쉽지만 비교하기에는 효율성이 떨어집니다. Strong validators 는 비교하기에는 이상적이지만 효율적으로 만들기가 어렵습니다. 동일한 자원의 두 가지 Weak Etag 값은 동일할 수 있지만, 바이트 단위까지 동일하진 않습니다.
+
"<etag_value>"
+
Entity tags 는 요청된 값을 ASCII 코드와 같이 고유한 형태로 나타냅니다. (예 : "675af34563dc-tr34")
+ ETag 의 값을 생성하는 방법(Method)은 단순히 한가지로 정해져있진 않습니다. 때때로, 콘텐츠의 해시, 마지막으로 수정된 타임스탬프의 해시,  혹은 그냥 개정번호를 이용합니다. 예를들어, MDN 는 wiki(콘텐츠)의 16진수 해시를 사용합니다.
+
+ +

예시

+ +
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ETag: W/"0815"
+ +

Avoiding mid-air collisions

+ +

With the help of the ETag and the {{HTTPHeader("If-Match")}} headers, you are able to detect mid-air edit collisions.

+ +

For example when editing MDN, the current wiki content is hashed and put into an Etag in the response:

+ +
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4
+ +

When saving changes to a wiki page (posting data), the {{HTTPMethod("POST")}} request will contain the {{HTTPHeader("If-Match")}} header containing the ETag values to check freshness against.

+ +
If-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ +

If the hashes don't match, it means that the document has been edited in-between and a {{HTTPStatus("412")}} Precondition Failed error is thrown.

+ +

Caching of unchanged resources

+ +

Another typical use case of the ETag header is to cache resources that are unchanged. If a user visits a given URL again (that has an ETag set), and it is stale, that is too old to be considered usable, the client will send the value of its ETag along in an {{HTTPHeader("If-None-Match")}} header field:

+ +
If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ +

The server compares the client's ETag (sent with If-None-Match) with the ETag for its current version of the resource and if both values match (that is, the resource has not changed), the server send back a {{HTTPStatus("304")}} Not Modified status, without any body, which tells the client that the cached version of the response is still good to use (fresh).

+ +

사양

+ + + + + + + + + + + + +
사양제목
{{RFC("7232", "ETag", "2.3")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http/headers/etag")}}

+ +

참고

+ + diff --git a/files/ko/web/http/headers/expect/index.html b/files/ko/web/http/headers/expect/index.html new file mode 100644 index 0000000000..a984fcd776 --- /dev/null +++ b/files/ko/web/http/headers/expect/index.html @@ -0,0 +1,90 @@ +--- +title: Expect +slug: Web/HTTP/Headers/Expect +translation_of: Web/HTTP/Headers/Expect +--- +
{{HTTPSidebar}}
+ +

Expect HTTP 요청 헤더는 요청을 적절하게 처리하기 위해 서버가 반환할 기대값을 나타냅니다.

+ +

명세에 정의된 유일한 기대값인 Expect: 100-continue에 대해, 서버는 다음과 같이 응답합니다:

+ +

 

+ + + +

 

+ +

예를들어, 요청의 {{HTTPHeader("Content-Length")}} 값이 너무 크다면 서버는 이를 거절할 수도 있습니다.

+ +

일반적인 브라우저는 Expect 헤더를 전송하지 않지만, cURL과 같은 몇가지 클라이언트들은 전송하는 것이 기본값입니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

Syntax

+ +

현재는 "100-continue" 를 제외하고 어떤 기대값도 정의되어있지 않습니다.

+ +
Expect: 100-continue
+
+ +

Directives

+ +
+
100-continue
+
Informs recipients that the client is about to send a (presumably large) message body in this request and wishes to receive a {{HTTPStatus("100")}} (Continue) interim response.
+
+ +

Examples

+ +

Large message body

+ +

클라이언트는 Expect 헤더가 포함된 요청을 전송하고 메시지 바디를 전송하기 이전에 서버의 응답을 기다립니다.

+ +
PUT /somewhere/fun HTTP/1.1
+Host: origin.example.com
+Content-Type: video/h264
+Content-Length: 1234567890987
+Expect: 100-continue
+ +

이제 서버는 요청 헤더를 확인하고 {HTTPStatus("100")}} (Continue) 상태를 응답하여 클라이언트가 계속해서 메시지 바디를 전송하도록 안내하거나, {{HTTPStatus("417")}} (Expectation Failed) 상태를 응답하여 어떠한 기대값도 충족되지 않도록 합니다.

+ +

Specifications

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Expect", "5.1.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

Browser compatibility

+ +

No common browsers are known to send this header.

+ +

See also

+ + diff --git a/files/ko/web/http/headers/expires/index.html b/files/ko/web/http/headers/expires/index.html new file mode 100644 index 0000000000..35042ff710 --- /dev/null +++ b/files/ko/web/http/headers/expires/index.html @@ -0,0 +1,75 @@ +--- +title: Expires +slug: Web/HTTP/Headers/Expires +translation_of: Web/HTTP/Headers/Expires +--- +
{{HTTPSidebar}}
+ +

Expires 헤더는 응답이 더 이상 신선하지 않다고 판단할 날짜/시간을 포함합니다.

+ +

0과 같은, 유효하지 않은 날짜는 과거의 시간을 나타내어 리소스가 이미 만료되었음을 의미합니다.

+ +

응답 내에 "max-age" 혹은 "s-max-age" 디렉티브를 지닌 {{HTTPHeader("Cache-Control")}} 헤더가 존재할 경우, Expires 헤더는 무시됩니다.

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

문법

+ +
Expires: <http-date>
+
+ +

디렉티브

+ +
+
<http-date>
+
+

HTTP-date timestamp.

+
+
+ +

예제

+ +
Expires: Wed, 21 Oct 2015 07:28:00 GMT
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7234", "Expires", "5.3")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/forwarded/index.html b/files/ko/web/http/headers/forwarded/index.html new file mode 100644 index 0000000000..5355bf1c0e --- /dev/null +++ b/files/ko/web/http/headers/forwarded/index.html @@ -0,0 +1,110 @@ +--- +title: Forwarded +slug: Web/HTTP/Headers/Forwarded +tags: + - HTTP + - HTTP 헤더 + - 요청 헤더 + - 참고자료 + - 헤더 +translation_of: Web/HTTP/Headers/Forwarded +--- +
{{HTTPSidebar}}
+ +

Forwarded 헤더는 클라이언트에서 접하고 있는 프록시 서버들이 요청에 대한 연결에 연관되어 있는 상황에서 해당 연결이 변경되거나 잃어버리게 되었을 때, 해당되는 정보를 가지고 있습니다.

+ +

이 헤더를 대체하는 실질적인 표준 버전은 {{HTTPHeader("X-Forwarded-For")}}, {{HTTPHeader("X-Forwarded-Host")}}, 그리고 {{HTTPHeader("X-Forwarded-Proto")}} 입니다.

+ +

이 헤더는 디버깅, 통계, 그리고 위치 기반 컨텐츠에서 사용되며 클라이언트의 IP 주소와 같은 민감한 개인 정보를 노출하도록 디자인 되었습니다. 따라서 이 헤더를 사용할 경우에는 사용자의 정보를 노출시키지 않도록 반드시 주의해야합니다.

+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}아니오
+ +

문법

+ +
Forwarded: by=<identifier>; for=<identifier>; host=<host>; proto=<http|https>
+
+ +

지시자

+ +
+
<identifier>
+
식별자는 프록시를 사용할 때, 대체되거나 잃어버린 정보를 밝힙니다. 이것은 다음과 같을 수 있습니다: +
    +
  • IP 주소(v4 또는 v6, 추가로 포트, 그리고 IPv6는 따옴표와 대괄호로 쌓여있습니다),
  • +
  • 애매한 식별자(예를 들면, "_hidden" 또는 "_secret"),
  • +
  • 또는 알 수 없는 개체를 진행하고자 했을 때 (그리고 당신이 계속 만들어진 요청이 전달되기를 원한다고 알려줄 때) "unknown"  or "unknown".
  • +
+
+
by=<identifier>
+
요청이 프록시 서버에 들어왔을 때의 인터페이스.
+
for=<identifier>
+
요청을 시작한 클라이언트와 프록시 체인에서 뒤이은 프록시.
+
host=<host>
+
{{HTTPHeader("Host")}} 요청 헤더 영역은 프록시에게서 받는다.
+
proto=<http|https>
+
+

요청을 만들기 위해서 어떠한 프로토콜(보통 "http" 또는 "https")이 사용되었는지 알려준다.

+
+
+ +

예제

+ +

Forwarded 헤더 사용

+ +
Forwarded: for="_mdn"
+
+# case insensitive
+Forwarded: For="[2001:db8:cafe::17]:4711"
+
+# separated by semicolon
+Forwarded: for=192.0.2.60; proto=http; by=203.0.113.43
+
+# multiple values can be appended using a comma
+Forwarded: for=192.0.2.43, for=198.51.100.17
+
+ +

X-Forwarded-For 에서 Forwarded 로의 전환

+ +

만약 어플리케이션(서버 또는 프록시)이 표준화된 Forwared 헤더를 지원한다면, {{HTTPHeader("X-Forwarded-For")}} 헤더는 대체될 수 있습니다. IPv6 주소는 Forwarded에서 따옴표와 대괄호로 감싸질 수 있다는 것을 알아두세요.

+ +
X-Forwarded-For: 123.34.567.89
+Forwarded: for=123.34.567.89
+
+X-Forwarded-For: 192.0.2.43, 2001:db8:cafe::17
+Forwarded: for=192.0.2.43, for="[2001:db8:cafe::17]"
+
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7239", "Forwarded", "4")}}Forwarded HTTP Extension
+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/from/index.html b/files/ko/web/http/headers/from/index.html new file mode 100644 index 0000000000..cdf796ed4b --- /dev/null +++ b/files/ko/web/http/headers/from/index.html @@ -0,0 +1,70 @@ +--- +title: From +slug: Web/HTTP/Headers/From +translation_of: Web/HTTP/Headers/From +--- +
{{HTTPSidebar}}
+ +

From 요청 헤더는 요청한 사용자 에이전트를 제어하는 인간 사용자의 인터넷 이메일을 포함합니다.

+ +

만약 당신이 (예를 들어 크롤러와 같은) 로보틱 사용자 에이전트를 실행하고 있다면,  From 헤더를 반드시 전송해야 하며, 로봇이 한도를 초과하거나 원하지 않으며, 유효하지 않은 요청을 전송하고 있는 경우처럼 서버 상에 문제를 일으키고 있다면 당신에게 해당 이메일로 연락이 가능해야 합니다.

+ +
+

접근 제어 혹은 인증을 위해 From 헤더를 사용해서는 안됩니다.

+
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
From: <email>
+
+ +

디렉티브

+ +
+
<email>
+
기계가 사용 가능한 이메일 주소.
+
+ +

예제

+ +
From: webmaster@example.org
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "From", "5.5.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/host/index.html b/files/ko/web/http/headers/host/index.html new file mode 100644 index 0000000000..321ec35f49 --- /dev/null +++ b/files/ko/web/http/headers/host/index.html @@ -0,0 +1,70 @@ +--- +title: Host +slug: Web/HTTP/Headers/Host +translation_of: Web/HTTP/Headers/Host +--- +
{{HTTPSidebar}}
+ +

Host 요청 헤더는 (가상 호스팅을 위해) 서버의 도메인명과 서버가 리스닝하는 (부가적인) TCP 포트를 특정합니다.

+ +

포트가 주어지지 않으면, 요청된 서버의 기본 포트(예를 들어, HTTP URL은 "80")를 의미합니다.

+ +

Host 헤더의 필드는 모든 HTTP/1.1 요청 메시지 내에 포함되어 전송되어야 합니다. Host 헤더 필드가 없거나 한 개 이상의 필드를 포함하는 HTTP/1.1 요청 메시지에 대해서는 {{HTTPStatus("400")}} (Bad Request) 상태 코드가 전송될 것입니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Host: <host>:<port>
+
+ +

디렉티브

+ +
+
<host>
+
(가상 호스팅에 대한) 서버의 도메인 이름.
+
<port> {{optional_inline}}
+
서버가 리스닝하는 TCP 포트 번호.
+
+ +

예제

+ +
Host: developer.cdn.mozilla.net
+ +

명세

+ + + + + + + + + + + + +
명세제목
{{RFC("7230", "Host", "5.4")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/if-modified-since/index.html b/files/ko/web/http/headers/if-modified-since/index.html new file mode 100644 index 0000000000..59f68cd2e8 --- /dev/null +++ b/files/ko/web/http/headers/if-modified-since/index.html @@ -0,0 +1,91 @@ +--- +title: If-Modified-Since +slug: Web/HTTP/Headers/If-Modified-Since +translation_of: Web/HTTP/Headers/If-Modified-Since +--- +
{{HTTPSidebar}}
+ +

If-Modified-Since HTTP 요청 헤더는 조건부 요청으로 서버는 지정된 날짜 이후 수정 된 경우에 {{HTTPStatus("200")}}  과 함께 요청된 리소스를 돌려 줍니다. 만약 수정되지 않는 리소스에 대한 요청시, 리소스 없이 {{HTTPStatus("304")}}  응답을 하게 됩니다. 이전 요청의 {{HTTPHeader ( "Last-Modified")}} 응답 헤더는 마지막으로 수정 한 날짜를 포함합니다.If-Modified-Since{{HTTPHeader("If-Unmodified-Since")}} 와는 다르게 {{HTTPMethod("GET")}} 또는 {{HTTPMethod("HEAD")}} 에서만 쓸수 있습니다.

+ +

서버가 If-None-Match를 지원하지 않는 한 {{HTTPHeader("If-None-Match")}} 를 함께 사용시 무시 됩니다.

+ +

가장 일반적인 사용예로, {{HTTPHeader("ETag")}} 가 없는 캐시된 엔티티로 업데이트 합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
If-Modified-Since: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

지시자

+ +
+
<day-name>
+
"Mon", "Tue", "Wed", "Thu", "Fri", "Sat", 또는 "Sun" 중 하나(대소문자 구분).
+
<day>
+
2 숫자의 날짜, 예: "04" 또는 "23".
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 중 하나(대소문자 구분).
+
<year>
+
4 숫자의 연도, 예: "1990" 또는 "2016".
+
<hour>
+
2 숫자의 분, 예: "04" 또는 "59.
+
<minute>
+
2 숫자의 초, 예: "04" 또는 "59".
+
<second>
+
2 digit second number, e.g. "04" or "59".
+
GMT
+
+

그리니치 표준시. HTTP 날짜는 현지 시각이 아닌, 언제나 GMT로 표현합니다.

+
+
+ +

예제

+ +
If-Modified-Since: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

기술 사양

+ + + + + + + + + + + + + + +
기술 사양제목
{{RFC("7232", "If-Modified-Since", "3.3")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.If-Modified-Since")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/if-range/index.html b/files/ko/web/http/headers/if-range/index.html new file mode 100644 index 0000000000..12410e90bd --- /dev/null +++ b/files/ko/web/http/headers/if-range/index.html @@ -0,0 +1,104 @@ +--- +title: If-Range +slug: Web/HTTP/Headers/If-Range +tags: + - HTTP + - HTTP 헤더 + - 범위 요청 + - 요청 헤더 + - 조건 요청 + - 참고자료 +translation_of: Web/HTTP/Headers/If-Range +--- +
{{HTTPSidebar}}
+ +

If-Range HTTP 요청 헤더는 범위 요청을 조건적으로 만듭니다: 만약 조건이 만족된다면, 범위 요청은 처리되어 서버에서 {{HTTPStatus("206")}} Partial Content 응답을 적절한 바디를 포함하여 보낼 것입니다. 만약 조건을 만족하지 못한다면, {{HTTPStatus("200")}} OK 상태 코드가 전체 리소스와 함께 돌아올 것입니다.

+ +

이 헤더는 {{HTTPHeader("Last-Modified")}} 유효 검사자, 또는 {{HTTPHeader("ETag")}}와도 함께 사용될 수 있지만, 동시에는 사용할 수 없습니다.

+ +

가장 많은 사용 예로 다운로드를 재개할 때, 저장된 리소스가 마지막 조각을 다운받은 후 수정되었는지 확인하기 위하여 사용합니다.

+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}아니오
+ +

문법

+ +
If-Range: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+If-Range: <etag>
+ +

지시자

+ +
+
<etag>
+
개체 태그는 요청한 리소스가 유일한 것을 표현합니다. 이는 ASCII 문자열로 쌍따옴표("675af34563dc-tr34"처럼)로 묶여있으며, 접두사로 W/가 있어 약한 비교 알고리즘을 사용되어야 하는 것을 알려줄 수 있습니다.
+
+ +
+
<day-name>
+
"Mon", "Tue", "Wed", "Thu", "Fri", "Sat", 또는 "Sun" 중에 하나(대소문자 구별) .
+
<day>
+
2 숫자의 날짜, 예: "04" 또는 "23".
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 중 하나(대소문자 구별).
+
<year>
+
4 숫자의 연도, 예: "1990" 또는 "2016".
+
<hour>
+
2 숫자의 시간, 예: "09" 또는 "23".
+
<minute>
+
2 숫자의 분, 예: "04" 또는 "59".
+
<second>
+
2 숫자의 초, 예: "04" 또는 "59.
+
GMT
+
+

그리니치 표준시. HTTP 날짜는 지역 시각이 아닌, 언제나 GMT로 표현합니다.

+
+
+ +

예제

+ +
If-Range: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7233", "If-Range", "3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.If-Range")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/index.html b/files/ko/web/http/headers/index.html new file mode 100644 index 0000000000..56460bc685 --- /dev/null +++ b/files/ko/web/http/headers/index.html @@ -0,0 +1,444 @@ +--- +title: HTTP 헤더 +slug: Web/HTTP/Headers +tags: + - HTTP + - HTTP 헤더 + - 개요 + - 네트워킹 + - 레퍼런스 +translation_of: Web/HTTP/Headers +--- +
{{HTTPSidebar}}
+ +

HTTP 헤더는 클라이언트와 서버가 요청 또는 응답으로 부가적인 정보를 전송할 수 있도록 해줍니다. HTTP 헤더는 대소문자를 구분하지 않는 이름과 콜론 ':' 다음에 오는 값(줄 바꿈 없이)으로 이루어져있습니다. 값 앞에 붙은 빈 문자열은 무시됩니다.

+ +

커스텀 등록 헤더는 'X-'를 앞에 붙여 추가될 수 있지만, 이 관례는 RFC 6648에서 비표준 필드가 표준이 되었을때 불편함을 유발하는 이유로 2012년 6월에 폐기되었습니다. 다른것들은 IANA 레지스트리에 나열되어 있으며, 원본 컨텐츠는 RFC 4229에서 정의되었습니다. IANA는 또한 제안된 새로운 메시지 헤더의 레지스트리도 관리합니다.

+ +

헤더는 컨텍스트에 따라 그룹핑될 수 있습니다:

+ + + +

헤더는 또한 프록시의 처리 방법에 따라 그룹핑할 수도 있습니다:

+ +
+
종단간 헤더
+
이러한 헤더는 반드시 메시지의 최종 수신자에게 전송되어야 합니다. 즉, 요청에 대해서는 서버, 응답에 대해서는 클라이언트입니다. 중간 프록시는 반드시 종단 간 헤더를 수정되지 않은 상태로 재전송해야하며 캐시는 이를 반드시 저장해야합니다.
+
홉간 헤더
+
이러한 헤더는 단일 전송-레벨 연결에서만 의미가 있으며 프록시에의해 재전송되거나 캐시되어선 안됩니다. 이러한 헤더들은 다음과 같습니다: {{ httpheader("Connection") }}, {{ httpheader("Keep-Alive") }}, {{ httpheader("Proxy-Authenticate") }}, {{ httpheader("Proxy-Authorization") }}, {{ httpheader("TE") }}, {{ httpheader("Trailer") }}, {{ httpheader("Transfer-Encoding") }}, {{ httpheader("Upgrade") }}. 홉간 헤더는 {{ httpheader("Connection") }} 일반 헤더를 사용해 설정될 수도 있음을 유의하세요.
+
+ +

다음은 사용 카테고리에 따라 HTTP 헤더를 요약한 리스트입니다. 알파벳순의 리스트는 왼쪽의 네비게이션을 보세요.

+ +

인증

+ +
+
{{HTTPHeader("WWW-Authenticate")}}
+
리소스에 대한 접근을 하는데 사용되어야하는 인증 메소드를 정의합니다.
+
{{HTTPHeader("Authorization")}}
+
서버와함께 유저 에이전트를 인증하기 위한 자격 증명을 포함합니다.
+
{{HTTPHeader("Proxy-Authenticate")}}
+
프록시 서버 뒤에 있는 리소스에 접근하는데 사용되어야하는 인증 메소드를 정의합니다.
+
{{HTTPHeader("Proxy-Authorization")}}
+
프록시 서버와 함께 유저 에이전트를 인증하기 위한 자격 증명을 포함합니다.
+
+ +

캐싱

+ +
+
{{HTTPHeader("Age")}}
+
객체가 프록시 캐시에 있었던 초 단위의 시간.
+
{{HTTPHeader("Cache-Control")}}
+
요청과 응답 모두에서의 캐싱 메커니즘을 명시하는 지시문.
+
{{HTTPHeader("Clear-Site-Data")}}
+
요청하는 웹사이트에 관련된 탐색 데이터(예, 쿠키, 저장소, 캐시)를 제거합니다.
+
{{HTTPHeader("Expires")}}
+
응답이 만료되었다고 고려되는 날짜/시간.
+
{{HTTPHeader("Pragma")}}
+
요청-응답 체인을 따라 어디든 다양한 영향을 줄 수 있는 구현-관련 헤더. Cache-Control 헤더가 존재하지 않는 HTTP/1.0 캐시와의 하위 호환성을 위해 사용됨.
+
{{HTTPHeader("Warning")}}
+
가능한 문제들에 대한 정보를 포함하는 일반 경고 필드.
+
+ +

클라이언트 힌트

+ +

HTTP 클라이언트 힌트는 작업중에 있습니다. 실제 문서는 HTTP 작업 그룹의 웹사이트에서 확인하실 수 있습니다.

+ +
+
{{HTTPHeader("Accept-CH")}} {{experimental_inline}}
+
서버는 Accept-CH 헤더 필드나 http-equiv 어트리뷰트([HTML5])를 갖는 동등한 HTML meta 엘리먼트를 사용해 클라이언트 힌트에 대한 지원을 알릴 수 있습니다.
+
+ +
+
{{HTTPHeader("Accept-CH-Lifetime")}} {{experimental_inline}}
+
서버는 명시된 시간동안 서버가 지원하는 클라이언트 힌트의 집합을 클라이언트가 기억하도록 요청하여 서버의 오리진으로의 후속 요청에 대한 클라이언트 힌트를 전송할 수 있습니다([RFC6454]).
+
{{HTTPHeader("Early-Data")}} {{experimental_inline}}
+
요청이 초기 데이터로 전달되었음을 나타냅니다.
+
+ +
+
{{HTTPHeader("Content-DPR")}} {{experimental_inline}}
+
Content-DPR 응답 헤더 필드는 선택한 이미지 응답의 CSS px를 통한 물리적 픽셀간의 비율을 나타내는 숫자입니다.
+
{{HTTPHeader("DPR")}} {{experimental_inline}}
+
DPR 요청 헤더 필드는 레이아웃 뷰포트(Section 9.1.1 of [CSS2])의 CSS px(Section 5.2 of [CSSVAL])를 통한 물리적 픽셀 비율인 클라이언트의 현재 기기 픽셀 비율(DPR)을 나타내는 숫자입니다.
+
{{HTTPHeader("Save-Data")}} {{experimental_inline}}
+
SaveData [CLIENT-HINTS] 요청 헤더 필드는 절약한 데이터 사용에 대한 유저 에이전트의 설정을 나타내는 하나 이상의 토큰으로 이루어져있습니다.
+
{{HTTPHeader("Viewport-Width")}} {{experimental_inline}}
+
+
+

Viewport-Width 요청 헤더 필드는 CSS px 단위의 레이아웃 뷰포트 width를 나타내는 숫자입니다. 제공된 CSS px값은 정수로 반올림된 숫자입니다(예, 올림 값).

+
+ +
+

하나 이상의 메시지에서 Viewport-Width가 나타난다면, 마지막 값이 모든 이전의 값을 덮어씁니다.

+
+
+
{{HTTPHeader("Width")}} {{experimental_inline}}
+
+
+

Width 요청 헤더 필드는 물리적 px(예, 이미지의 실제 크기) 단위의 원하는 리소스 width를 나타내는 숫자입니다. 제공된 물리적 px 값은 정수로 반올림된 숫자입니다(예, 올림 값).

+
+ +
+

원하는 리소스 width를 요청 시점에 알 수 없거나 리소스가 표출 width를 갖지 않을 경우, Width 헤더 필드는 생략될 수 있습니다. 하나 이상의 메시지에서 Width가 나타난다면, 마지막 값이 모든 이전의 값을 덮어씁니다.

+
+
+
+ +

조건부

+ +
+
{{HTTPHeader("Last-Modified")}}
+
동일한 리소스의 여러 버전을 비교하는데 사용되는 검사기로, 리소스의 마지막 수정 날짜입니다. {{HTTPHeader("ETag")}}보다 덜 정확하지만, 어떤 환경에서는 계산이 더 쉽습니다. {{HTTPHeader("If-Modified-Since")}}와 {{HTTPHeader("If-Unmodified-Since")}}를 사용하는 조건부 요청은 이 값을 사용하여 요청의 동작을 변경합니다.
+
{{HTTPHeader("ETag")}}
+
리소스의 버전을 식별하는 고유한 문자열 검사기입니다. {{HTTPHeader("If-Match")}}와 {{HTTPHeader("If-None-Match")}}를 사용하는 조건부 요청은 이 값을 사용하여 요청의 동작을 변경합니다.
+
{{HTTPHeader("If-Match")}}
+
저장된 리소스가 주어진 ETags의 하나와 일치하는 경우에만 요청을 조건부로 만들고 메소드를 적용합니다.
+
{{HTTPHeader("If-None-Match")}}
+
저장된 리소스가 주어진 ETags 모두와 일치하지 않는 경우에만 요청을 조건부로 만들고 메소드를 적용합니다. 캐시(안전 연결용)를 업데이트하거나 이미 존재하는 리소스를 다시 업로드하는 것을 방지하기위해 사용됩니다.
+
{{HTTPHeader("If-Modified-Since")}}
+
주어진 날짜 이후에 수정된 경우에만 요청을 조건부로 만들고 엔티티가 전송될 것을 기대합니다. 캐시가 만료되었을 때에만 데이터를 전송하는데 사용됩니다.
+
{{HTTPHeader("If-Unmodified-Since")}}
+
주어진 날짜 이후에 수정되지 않은 경우에만 요청을 조건부로 만들고 엔티티가 전송될 것을 기대합니다. 이는 특정 범위의 새로운 프래그먼트와 이전의 것과의 일관성을 보장하거나, 존재하는 다큐먼트를 수정할 때에 낙관적인 제어 시스템을 구현하는데 사용됩니다.
+
{{HTTPHeader("Vary")}}
+
오리진 서버로부터 새로운 요청을하는 대신 캐시된 응답을 사용할지를 결정하기위한 향후의 요청 헤더를 매칭할 방법을 정합니다.
+
+ +

연결 관리

+ +
+
{{HTTPHeader("Connection")}}
+
현재 트랜잭션이 끝난후에 네트워크 연결을 열린 상태로 둘지 여부를 제어합니다.
+
{{HTTPHeader("Keep-Alive")}}
+
지속적인 연결이 열린 상태로 유지할 기간을 제어합니다.
+
+ +

컨텐츠 협상

+ +
+
{{HTTPHeader("Accept")}}
+
돌려줄 데이터 타입에 대해 서버에 알립니다. MIME 타입입니다.
+
{{HTTPHeader("Accept-Charset")}}
+
클라이언트가 이해할 수 있는 문자 집합에 대해 서버에 알립니다.
+
{{HTTPHeader("Accept-Encoding")}}
+
인코딩 알고리즘에 대해 서버에 알립니다. 보통은 돌려줄 리소스에 사용되는 압축 알고리즘입니다.
+
{{HTTPHeader("Accept-Language")}}
+
서버가 돌려주기로 예상된 언어에 대해 서버에 알립니다. 이는 힌트이며 사용자의 모든 제어 아래에서는 필수가 아닙니다: 서버는 명시적인 사용자 선택을 덮어쓰지 않도록 항상 집중해야합니다(드롭 다운 리스트에서 언어를 선택하는 것처럼).
+
+ +

제어

+ +
+
{{HTTPHeader("Expect")}}
+
요청을 적절히 처리하기위해 서버에서 수행되어야하는 기대치를 나타냅니다.
+
{{HTTPHeader("Max-Forwards")}}
+
...
+
+ +

쿠키

+ +
+
{{HTTPHeader("Cookie")}}
+
{{HTTPHeader("Set-Cookie")}} 헤더와 함께 서버로부터 이전에 전송됐던 저장된 HTTP 쿠키를 포함합니다. 
+
{{HTTPHeader("Set-Cookie")}}
+
서버에서 유저 에이전트로 쿠키를 전송합니다.
+
{{HTTPHeader("Cookie2")}} {{obsolete_inline}}
+
{{HTTPHeader("Set-Cookie2")}}와 함께 서버에 의해 이전에 전송된 HTTP 쿠키를 포함하는데 사용되었지만, 명세에 의해 사용되지 않게 되었습니다. 대신 {{HTTPHeader("Cookie")}}를 사용하세요.
+
{{HTTPHeader("Set-Cookie2")}} {{obsolete_inline}}
+
서버에서 유저 에이전트로 쿠키를 전송하는데 사용되었지만, 명세에 의해 사용되지 않게 되었습니다. 대신 {{HTTPHeader("Set-Cookie")}}를 사용하세요.
+
+ +

CORS

+ +

여기에서 CORS에 대해 더 알아보세요.

+ +
+
{{HTTPHeader("Access-Control-Allow-Origin")}}
+
응답이 공유될 수 있는지를 나타냅니다.
+
{{HTTPHeader("Access-Control-Allow-Credentials")}}
+
credentials 플래그가 true일 때 요청에 대한 응답이 노출될 수 있는지를 나타냅니다.
+
{{HTTPHeader("Access-Control-Allow-Headers")}}
+
실제 요청을 만들 때 사용될 수 있는 HTTP 헤더를 나타내는 preflight 요청에 대한 응답으로 사용됩니다.
+
{{HTTPHeader("Access-Control-Allow-Methods")}}
+
preflight 요청에 대한 응답으로 리소스에 접근할 때 허용되는 메소드를 명시합니다.
+
{{HTTPHeader("Access-Control-Expose-Headers")}}
+
헤더의 이름을 나열하여 어떤 헤더가 응답의 일부로 노출될 수 있는지를 나타냅니다.
+
{{HTTPHeader("Access-Control-Max-Age")}}
+
preflight 요청의 결과가 캐시되는 기간을 나타냅니다.
+
{{HTTPHeader("Access-Control-Request-Headers")}}
+
실제 요청이 있을 때 사용될 HTTP 헤더를 서버에 알리기 위한 preflight 요청을 보낼 때 사용됩니다.
+
{{HTTPHeader("Access-Control-Request-Method")}}
+
실제 요청이 있을 때 사용될 HTTP 메소드를 서버에 알리기 위한 preflight 요청을 보낼 때 사용됩니다.
+
+ +
+
{{HTTPHeader("Origin")}}
+
페치가 시작된 위치를 나타냅니다.
+
{{HTTPHeader("Timing-Allow-Origin")}}
+
Resource Timing API의 기능을 통해 반환되는 속성을 확인할 수 있게해주는 오리진을 명시합니다. 교차-오리진 제한으로인해 0으로 기록될 수도 있습니다.
+
{{HTTPHeader("X-Permitted-Cross-Domain-Policies")}}
+
교차-도메인 정책 파일(XML)이 허용되었는지를 명시합니다. 해당 파일은 Adobe Flash Player 또는 Adobe Acrobat(예, PDF)과 같은 웹 클라이언트가 도메인을 넘어 데이터를 다룰 수 있도록 허용하는 정책을 정의할수도 있습니다.
+
+ +

추적 안함

+ +
+
{{HTTPHeader("DNT")}}
+
사용자의 추적 설정을 나타내는데 사용됩니다.
+
{{HTTPHeader("Tk")}}
+
해당하는 요청에 적용되는 추적 상태를 나타냅니다.
+
+ +

다운로드

+ +
+
{{HTTPHeader("Content-Disposition")}}
+
전송된 리소스가 한 줄로 표시되어야하거나(헤더가 존재하지 않을 때는 기본 동작), 다운로드처럼 처리되어야 하고 브라우저가 '다른 이름으로 저장' 창을 표시해야할 때에 대한 응답 헤더입니다.
+
+ +

메시지 바디 정보

+ +
+
{{HTTPHeader("Content-Length")}}
+
수신자에게 전송된 엔티티 바디의 크기를 10진수 바이트 단위로 나타냅니다.
+
{{HTTPHeader("Content-Type")}}
+
리소스의 미디어 타입을 나타냅니다.
+
{{HTTPHeader("Content-Encoding")}}
+
압축 알고리즘을 명시하는데 사용됩니다.
+
{{HTTPHeader("Content-Language")}}
+
사용자를 위한 언어를 설명하여 사용자가 선호하는 언어에 따라 구분할 수 있게해줍니다.
+
{{HTTPHeader("Content-Location")}}
+
반환된 데이터를 위한 대체 위치를 나타냅니다.
+
+ +

프록시

+ +
+
{{HTTPHeader("Forwarded")}}
+
프록시가 요청의 경로에 포함될 때 변경되거나 손실되는 프록시 서버의 클라이언트 측면에 대한 정보를 포함합니다.
+
{{HTTPHeader("X-Forwarded-For")}} {{non-standard_inline}}
+
HTTP 프록시나 로드 밸런서를 통해 웹 서버로 연결하는 클라이언트의 시작 IP 주소를 확인합니다.
+
{{HTTPHeader("X-Forwarded-Host")}} {{non-standard_inline}}
+
클라이언트가 여러분의 프록시나 로드 밸런서에 접속하기 위해 사용하도록 요청됐던 원본 호스트를 확인합니다.
+
{{HTTPHeader("X-Forwarded-Proto")}} {{non-standard_inline}}
+
클라이언트가 여러분의 프록시나 로드 밸런서에 접속하기 위해 사용했던 프로토콜(HTTP 또는 HTTPS)을 확인합니다.
+
{{HTTPHeader("Via")}}
+
정방향 및 역방향 프록시에 모두에 의해 추가되며, 요청 헤더와 응답 헤더에서 나타날 수 있습니다.
+
+ +

리다이렉트

+ +
+
{{HTTPHeader("Location")}}
+
페이지를 리다이렉트할 URL을 나타냅니다.
+
+ +

요청 컨텍스트

+ +
+
{{HTTPHeader("From")}}
+
요청하는 유저 에이전트를 제어하는 사용자(사람)의 인터넷 이메일 주소를 포함합니다.
+
{{HTTPHeader("Host")}}
+
서버(가상 호스팅용)의 도메인명과 (선택적으로) 서버가 리스닝중인 TCP 포트 번호를 명시합니다.
+
{{HTTPHeader("Referer")}}
+
현재 페이지로 연결되는 링크가 있던 이전 웹 페이지의 주소입니다.
+
{{HTTPHeader("Referrer-Policy")}}
+
생성된 요청이 {{HTTPHeader("Referer")}} 헤더에서 전송된 referrer 정보에 포함되어야하는지를 관리합니다.
+
{{HTTPHeader("User-Agent")}}
+
네트워크 프로토콜 피어가 요청하는 사용자 에이전트의 애플리케이션 타입, 운영 체제, 소프트웨어 벤더 또는 소프트웨어 버전을 식별할 수 있는 특성 문자열을 포함합니다. Firefox 유저 에이전트 문자열 레퍼런스 문서도 참고하세요.
+
+ +

응답 컨텍스트

+ +
+
{{HTTPHeader("Allow")}}
+
리소스에 의해 지원되는 HTTP 요청 메소드를 나열합니다.
+
{{HTTPHeader("Server")}}
+
요청을 처리하기 위해 오리진 서버에 의해 사용되는 소프트웨어에 대한 정보를 포함합니다.
+
+ +

범위 요청

+ +
+
{{HTTPHeader("Accept-Ranges")}}
+
서버가 범위 요청을 지원하는지를 나타내며, 지원할 경우 범위가 표현될 수 있는 단위를 나타냅니다.
+
{{HTTPHeader("Range")}}
+
서버가 반환해야하는 문서의 부분을 나타냅니다.
+
{{HTTPHeader("If-Range")}}
+
주어진 etag 또는 날짜가 원격 리소스와 일치할 경우에만 수행되는 조건적 범위 요청을 생성합니다. 호환되지 않는 범전의 리소스에서 두 가지 범위의 다운로드를 방지하기위해 사용됩니다.
+
{{HTTPHeader("Content-Range")}}
+
전체 바디 메시지 중 특정 메시지가 포함된 위치를 나타냅니다.
+
+ +

보안

+ +
+
{{HTTPHeader("Cross-Origin-Resource-Policy")}}
+
이 헤더가 적용된 리소스의 응답을 다른 도메인이 읽는 것을 방지합니다.
+
{{HTTPHeader("Content-Security-Policy")}} ({{Glossary("CSP")}})
+
주어진 페이지에 대해 유저 에이전트가 로드할 수 있는 리소스를 제어합니다.
+
{{HTTPHeader("Content-Security-Policy-Report-Only")}}
+
웹 개발자가 정책을 강제로 적용하지 않고도 그 효과를 실험해볼 수 있게 해줍니다. 이러한 위반 보고서는 HTTP POST 요청을 통해 지정된 URL로 전송된 {{Glossary("JSON")}} 문서로 구성됩니다.
+
{{HTTPHeader("Expect-CT")}}
+
사이트가 잘못 발급된 인증서의 사용이 눈에 띄지 않게 넘어가는것을 방지해주는 인증서 투명성(Certificate Transparency) 요구 보고 및/또는 시행을 옵트인할 수 있게 해줍니다. 사이트가 Expect-CT 헤더를 사용할 때, 사이트는 공개 CT 로그에 나타난 사이트에 대한 모든 인증서를 Chrome이 확인하도록 요청합니다.
+
{{HTTPHeader("Feature-Policy")}}
+
소유한 프레임 및 내장된 iframe에서 브라우저 기능의 사용을 허용 및 거부하기위한 메커니즘을 제공합니다.
+
+ +
+
{{HTTPHeader("Public-Key-Pins")}} ({{Glossary("HPKP")}})
+
위조된 인증서를 사용한 {{Glossary("MITM")}} 공격의 위험을 줄이기 위해 특정 웹 서버에 특정 암호화 공개 키를 연결합니다.
+
{{HTTPHeader("Public-Key-Pins-Report-Only")}}
+
헤더에 지정된 report-uri로 보고를 전송하고 피닝을 위반하더라도 클라이언트가 서버에 접속하는 것을 계속 허용합니다.
+
+ +
+
{{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}})
+
HTTP 대신 HTTPS를 사용하여 통신하도록 강제합니다.
+
{{HTTPHeader("Upgrade-Insecure-Requests")}}
+
암호화된 응답과 인증된 응답에 대한 클라이언트의 설정을 나타내는 신호를 서버에 전송하며, {{CSP("upgrade-insecure-requests")}} 지시자를 성공적으로 처리할 수 있습니다.
+
+ +
+
{{HTTPHeader("X-Content-Type-Options")}}
+
MIME 스니핑을 비활성화하고 브라우저가 {{HTTPHeader("Content-Type")}}에 주어진 타입을 사용하도록 강제합니다.
+
+ +
+
{{HTTPHeader("X-Download-Options")}}
+
브라우저(인터넷 익스플로러)가 파일을 통한 피싱 공격을 방지하기 위해 애플리케이션으로부터 다운로드된 파일에 "열기" 옵션을 표시하면 안되는지 여부를 나타냅니다. 피싱 공격을 방지하지 못할 경우 파일을 애플리케이션의 컨텍스트에서 실행할 권한을 얻게됩니다.
+
+ +
+
{{HTTPHeader("X-Frame-Options")}} (XFO)
+
브라우저가 {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("embed")}} 또는 {{HTMLElement("object")}}에서 페이지 렌더링을 허용해야하는지를 나타냅니다.
+
{{HTTPHeader("X-Powered-By")}}
+
호스팅 환경이나 다른 프레임워크에 의해 설정 될 수 있으며, 그들에 대한 정보를 포함하지만 애플리케이션이나 방문자에게 유용하지는 않습니다. 잠재적인 취약점 노출을 피하려면 이 헤더를 해제하세요.
+
{{HTTPHeader("X-XSS-Protection")}}
+
교차-사이트 스크립팅 필터링을 활성화합니다.
+
 
+
+ +

서버가 전송한 이벤트

+ +
+
{{HTTPHeader("Last-Event-ID")}}
+
...
+
{{HTTPHeader("NEL")}} {{experimental_inline}}
+
개발자가 네트워크 에러 보고 정책을 선언할 수 있게하는 메커니즘을 정의합니다.
+
{{HTTPHeader("Ping-From")}}
+
...
+
{{HTTPHeader("Ping-To")}}
+
...
+
{{HTTPHeader("Report-To")}}
+
브라우저가 경고 및 에러 보고를 전송하기 위한 서버 엔드포인트를 지정하는데 사용됩니다.
+
+ +

전송 코딩

+ +
+
{{HTTPHeader("Transfer-Encoding")}}
+
사용자에게 엔티티를 안전하게 전송하기위해 사용할 인코딩 형식을 지정합니다.
+
{{HTTPHeader("TE")}}
+
유저 에이전트가 수락하기로한 전송 인코딩을 지정합니다.
+
{{HTTPHeader("Trailer")}}
+
전송자가 청크 분할된 메시지의 끝에 부가적인 필드를 포함할 수 있게 해줍니다.
+
+ +

웹소켓

+ +
+
{{HTTPHeader("Sec-WebSocket-Key")}}
+
...
+
{{HTTPHeader("Sec-WebSocket-Extensions")}}
+
...
+
{{HTTPHeader("Sec-WebSocket-Accept")}}
+
...
+
{{HTTPHeader("Sec-WebSocket-Protocol")}}
+
...
+
{{HTTPHeader("Sec-WebSocket-Version")}}
+
...
+
+ +

그 외

+ +
+
{{HTTPHeader("Accept-Push-Policy")}} {{experimental_inline}}
+
클라이언트는 요청에 Accept-Push-Policy 헤더 필드를 전송하여 요청에 대해 희망하는 푸시 정책을 나타낼 수 있습니다.
+
{{HTTPHeader("Accept-Signature")}} {{experimental_inline}}
+
클라이언트는 Accept-Signature 헤더 필드를 전송하여 지원하는 서명의 종류와 사용 가능한 모든 서명을 이용할 의도를 나타낼 수 있습니다.
+
{{HTTPHeader("Alt-Svc")}}
+
이 서비스에 도달할 수 있는 대안을 나열하는데 사용됩니다.
+
{{HTTPHeader("Date")}}
+
메시지가 발생한 날짜와 시간을 포함합니다.
+
{{HTTPHeader("Large-Allocation")}}
+
로드되고 있는 페이지가 대규모 할당 작업을 원할 것이라고 브라우저에게 알립니다.
+
{{HTTPHeader("Link")}}
+
Link 엔티티 헤더 필드는 HTTP 헤더내의 하나 이상의 링크를 직렬화하기위한 수단을 제공합니다. HTML {{HTMLElement("link")}} 엘리먼트와 의미상으로 동일합니다.
+
{{HTTPHeader("Push-Policy")}} {{experimental_inline}}
+
Push-Policy는 요청을 처리할 때 푸시에 관련된 서버의 동작을 정의합니다.
+
+ +
+
{{HTTPHeader("Retry-After")}}
+
유저 에이전트가 다음 요청을 생성하기전에 얼마나 기다려야하는지를 나타냅니다.
+
{{HTTPHeader("Signature")}} {{experimental_inline}}
+
Signature 헤더 필드는 교환을 위한 서명의 리스트를 전달하며, 각 서명은 권한을 판별하고 새로고치는 방법에 대한 정보를 수반합니다.
+
{{HTTPHeader("Signed-Headers")}} {{experimental_inline}}
+
Signed-Headers 헤더 필드는 서명에서 포함할 응답 헤더 필드의 정렬된 리스트를 식별합니다.
+
{{HTTPHeader("Server-Timing")}}
+
주어진 요청-응답 주기에 대한 하나 이상의 메트릭 및 설명을 전달합니다.
+
{{HTTPHeader("SourceMap")}}
+
생성된 코드를 source map에 링크합니다.
+
{{HTTPHeader("Upgrade")}}
+
Upgrade 헤더 필드에 관련된 RFC 문서는 RFC 7230, section 6.7입니다. 이 표준은 현재 클라이언트, 서버, 전송 프로토콜 연결에서 다른 프로토콜로 업그레이드 또는 변경하기위한 규칙을 정하였습니다. 예를 들면, 이 헤더 표준은 서버가 Upgrade 헤더 필드를 인식하고 구현하도록 결정했다고 가정하여 클라이언트가 HTTP 1.1에서 HTTP 2.0으로 변경하는것을 허용합니다. 어떠한 집단에서도 Upgrade 헤더 필드에서 명시된 용어를 수락할 필요는 없습니다. 이는 클라이언트 및 서버 헤더 모두에서 사용될 수 있습니다. Upgrade 헤더 필드가 명시되었을 경우, 전송자는 반드시 업그레이드 옵션을 지정한 Connection 헤더 필드도 전송해야합니다. Connection 헤더 필드에 대한 자세한 내용은 앞서 언급한 RFC의 section 6.1을 확인하시기 바랍니다..
+
{{HTTPHeader("X-DNS-Prefetch-Control")}}
+
브라우저가 이미지, CSS, JavaScript 등을 포함하여 문서에 의해 참조된 항목을 위한 URL뿐만 아니라 사용자가 따르길 선택한 링크 모두에서 사전에 수행할 도메인 네임 확인을 수행하는 기능인 DNS 프리페칭을 제어합니다.
+
{{HTTPHeader("X-Firefox-Spdy")}} {{deprecated_inline}} {{non-standard_inline}}
+
...
+
{{HTTPHeader("X-Pingback")}} {{non-standard_inline}}
+
...
+
{{HTTPHeader("X-Requested-With")}}
+
...
+
{{HTTPHeader("X-Robots-Tag")}}{{non-standard_inline}}
+
공개 검색 엔진 결과에서 웹 페이지가 인덱싱되는 방식을 나타내기 위해 사용됩니다. 이 헤더는 사실상 <meta name="robots" content="...">와 동일합니다.
+
{{HTTPHeader("X-UA-Compatible")}} {{non-standard_inline}}
+
Internet Explorer에게 사용할 문서 모드를 알리는데 사용됩니다.
+
+ +

기여

+ +

새로운 항목을 작성하거나 존재하는 항목을 향상하여 도움을 주실 수 있습니다.

+ +

함께 보기

+ + diff --git a/files/ko/web/http/headers/keep-alive/index.html b/files/ko/web/http/headers/keep-alive/index.html new file mode 100644 index 0000000000..5635cc6ce9 --- /dev/null +++ b/files/ko/web/http/headers/keep-alive/index.html @@ -0,0 +1,88 @@ +--- +title: Keep-Alive +slug: Web/HTTP/Headers/Keep-Alive +translation_of: Web/HTTP/Headers/Keep-Alive +--- +
{{HTTPSidebar}}{{Non-standard_header}}
+ +

Keep-Alive 일반 헤더는 송신자가 연결에 대한 타임아웃과 요청 최대 개수를 어떻게 정했는지에 대해 알려줍니다.

+ +
+

{{HTTPHeader("Connection")}} 헤더는 이 헤더를 위해 어떤 의미든 갖도록 "keep-alive"로 설정되어야 합니다. 또한, {{HTTPHeader("Connection")}}과 {{HTTPHeader("Keep-Alive")}}는 HTTP/2에서 무시됩니다; 연결 관리는 해당 프로토콜 내에서 다른 메커니즘에 의해 처리됩니다.

+
+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Keep-Alive: parameters
+ +

디렉티브

+ +
+
파라메터
+
쉼표로 구분된 파라메터 목록으로, 각각 등호('=')로 구분되는 식별자와 값으로 구성됩니다. 다음은 사용 가능한 식별자들입니다: +
    +
  • timeout: 유휴 연결이 계속 열려 있어야 하는 최소한의 시간(초 단위)을 가르킵니다. keep-alive TCP 메시지가 전송 계층에 설정되지 않는다면 TCP 타임아웃 이상의 타임아웃은 무시된다는 것을 알아두시기 바랍니다.
  • +
  • max: 연결이 닫히기 이전에 전송될 수 있는 최대 요청 수를 가리킵니다. 만약 0이 아니라면, 해당 값은 다음 응답 내에서 다른  요청이 전송될 것이므로 비-파이프라인 연결의 경우 무시됩니다. HTTP 파이프라인은 파이프라이닝을 제한하는 용도로 해당 값을 사용할 수 있습니다.
  • +
+
+
+ +

예제

+ +

Keep-Alive 헤더를 포함하는 응답:

+ +
HTTP/1.1 200 OK
+Connection: Keep-Alive
+Content-Encoding: gzip
+Content-Type: text/html; charset=utf-8
+Date: Thu, 11 Aug 2016 15:23:13 GMT
+Keep-Alive: timeout=5, max=1000
+Last-Modified: Mon, 25 Jul 2016 04:32:39 GMT
+Server: Apache
+
+(body)
+ +

명세서

+ + + + + + + + + + + + + + + + +
명세제목
HyperText Transport Protocol Keep-Alive HeaderThe Keep-Alive Header (Experimental specification)
{{RFC("7230", "Keep-Alive", "appendix-A.1.2")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/last-modified/index.html b/files/ko/web/http/headers/last-modified/index.html new file mode 100644 index 0000000000..88f1da62bd --- /dev/null +++ b/files/ko/web/http/headers/last-modified/index.html @@ -0,0 +1,92 @@ +--- +title: Last-Modified +slug: Web/HTTP/Headers/Last-Modified +tags: + - HTTP + - HTTP 헤더 + - 응답 헤더 + - 참고자료 +translation_of: Web/HTTP/Headers/Last-Modified +--- +
{{HTTPSidebar}}
+ +

Last-Modified 응답은 HTTP 헤더에 서버가 알고있는 가장 마지막 수정된 날짜와 시각을 담고 있습니다. 이는 저장된 리소스가 이전과 같은지 유효성 검사자로 사용됩니다. {{HTTPHeader("ETag")}} 헤더보다는 덜 정확하지만, 이는 대비책으로 사용됩니다. 조건 요청은 {{HTTPHeader("If-Modified-Since")}} 또는 {{HTTPHeader("If-Unmodified-Since")}} 헤더로 이와 같은 필드를 사용하여 만들어집니다.

+ + + + + + + + + + + + + + + + +
헤더 타입{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}아니오
{{Glossary("Simple response header", "CORS-safelisted response-header")}}
+ +

문법

+ +
Last-Modified: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

지시자

+ +
+
<day-name>
+
"Mon", "Tue", "Wed", "Thu", "Fri", "Sat", 또는 "Sun" 중 하나(대소문자 구분).
+
<day>
+
2 숫자의 날짜, 예: "04" 또는 "23".
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 중 하나(대소문자 구분).
+
<year>
+
4 숫자의 연도, 예: "1990" 또는 "2016".
+
<hour>
+
2 숫자의 시간, 예: "09" 또는 "23".
+
<minute>
+
2 숫자의 분, 예: "04" 또는 "59.
+
<second>
+
2 숫자의 초, 예: "04" 또는 "59".
+
GMT
+
+

그리니치 표준시. HTTP 날짜는 현지 시각이 아닌, 언제나 GMT로 표현합니다.

+
+
+ +

예제

+ +
Last-Modified: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7232", "Last-Modified", "2.2")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Last-Modified")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/origin/index.html b/files/ko/web/http/headers/origin/index.html new file mode 100644 index 0000000000..403fb63450 --- /dev/null +++ b/files/ko/web/http/headers/origin/index.html @@ -0,0 +1,88 @@ +--- +title: Origin +slug: Web/HTTP/Headers/Origin +tags: + - HTTP + - Reference + - Request header + - header + - origin + - 헤더 +translation_of: Web/HTTP/Headers/Origin +--- +
{{HTTPSidebar}}
+ +

Origin request 헤더는 fetch가 시작되는 위치입니다. 경로 정보는 포함하지 않고 서버 이름만 포함합니다. {{HTTPMethod("POST")}} requests에 포함되는 것처럼, {{Glossary("CORS")}} requests 와 함께 전송합니다. {{HTTPHeader("Referer")}} 헤더와 비슷하지만, origin 헤더는 전체 경로를 공개하지 않습니다.

+ +
+

주의: {{HTTPMethod("HEAD")}} 와 {{HTTPMethod("GET")}} 메서드를 통해 Fetch requests를 사용할 때 {{httpheader("Origin")}} 헤더가 설정되지 않았습니다. (이 문제는 파이어폭스 65에서 수정되었습니다 — {{bug(1508661)}}참조).

+
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Origin: null
+Origin: <scheme> "://" <hostname> [ ":" <port> ]
+
+ +

지시

+ +
+
<scheme>
+
사용하는 프로토콜. 일반적으로 HTTP 프로토콜 혹은 보안 버전인 HTTPS를 사용합니다.
+
<hostname>
+
서버(가상 호스팅)의 이름 또는 IP 입니다.
+
<port> {{optional_inline}}
+
서버와 연결을 맺기 위한 TCP 포트 번호. 포트번호를 입력하지 않으면, 요청한 서비스의 기본 포트(HTTP의 경우 "80")가 사용됩니다.
+
+ +

예제

+ +
Origin: https://developer.mozilla.org
+ +

명세서

+ + + + + + + + + + + + + + + + + + +
SpecificationComment
{{RFC("6454", "Origin", "7")}}The Web Origin Concept
{{SpecName('Fetch','#origin-header','Origin header')}}Supplants the Origin header as defined in RFC6454.
+ +

브라우저 적합성

+ + + +
{{Compat("http.headers.Origin")}}
+ +

See also

+ + diff --git a/files/ko/web/http/headers/pragma/index.html b/files/ko/web/http/headers/pragma/index.html new file mode 100644 index 0000000000..28036125f0 --- /dev/null +++ b/files/ko/web/http/headers/pragma/index.html @@ -0,0 +1,84 @@ +--- +title: Pragma +slug: Web/HTTP/Headers/Pragma +tags: + - Deprecated + - HTTP + - 삭제됨 + - 요청 + - 캐싱 + - 헤더 +translation_of: Web/HTTP/Headers/Pragma +--- +
{{HTTPSidebar}}
+ +

HTTP/1.0 의 Pragma  헤더는 요청-응답 체인에 다양한 영향을 줄 수 있는 구현관련 헤더이다. 이것은 HTTP/1.0 버전에서 HTTP/1.1 버전의 Cache-Control 헤더가 생기기 전 그것과 동일한 역할을 하는 대용 헤더로 사용되었다.

+ +
+

Note: Pragma 는 HTTP 응답에서 명시되지 않았던 헤더여서 일반적인  HTTP/1.1 의 Cache-Control 헤더의 신뢰할만한 대체재로 사용될수는 없다.  비록 그것이 응답에서  Cache-Control 헤더가 생략되었을 시, Cache-Control: no-cache 와 동일하게 효과를 주긴 하지만 말이다. Pragma 헤더는 HTTP/1.0  를 사용하는 클라이언트들만을 위한 비공식적인 호환성을 위해서 사용하는것이 옳다.

+
+ + + + + + + + + + + + + + + + +
Header type{{Glossary("General header")}}, 그러나 응답 동작은 정해지지 않아서 구현 방식에 따른다.
{{Glossary("Forbidden header name")}}아님
{{Glossary("Simple response header", "CORS-safelisted response-header")}}맞음
+ +

문법

+ +
Pragma: no-cache
+
+ +

디렉티브

+ +
+
no-cache
+
+

 Cache-Control: no-cache 와 같다. 캐시가 캐시 복사본을 릴리즈 하기전에 원격 서버로 요청을 날려 유효성 검사를 강제하도록 한다.

+
+
+ +

예제

+ +
Pragma: no-cache
+ +

세부사항

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7234", "Pragma", "5.4")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

브라우저 호환성

+ + + + + +

{{Compat("http.headers.Pragma")}}

+ +

그외 볼것들

+ + diff --git a/files/ko/web/http/headers/range/index.html b/files/ko/web/http/headers/range/index.html new file mode 100644 index 0000000000..ec9ba33c81 --- /dev/null +++ b/files/ko/web/http/headers/range/index.html @@ -0,0 +1,84 @@ +--- +title: Range +slug: Web/HTTP/Headers/Range +tags: + - HTTP + - HTTP 헤더 + - 범위 요청 + - 요청 헤더 + - 참고사항 +translation_of: Web/HTTP/Headers/Range +--- +
{{HTTPSidebar}}
+ +

Range HTTP 요청 헤더는 서버에게 문서의 일부분만 돌려주어야 한다는 것을 알려줍니다. Range 헤더를 통해 여러 부분을 한번에 요청할 수 있으며, 서버는 이러한 범위에 대해 문서의 여러 부분을 돌려보내줄 것입니다. 만약 서버가 돌려 보낸다면, {{HTTPStatus("206")}} Partial Content를 응답으로 사용할 것입니다. 만약 범위가 유효하지 않다면, 서버는 {{HTTPStatus("416")}} Range Not Satisfiable 에러를 보낼 것입니다. 또한 서버는 Range 헤더를 무시하고 {{HTTPStatus("200")}} 상태 코드와 함께 전체 문서를 돌려줄 수 있습니다.

+ + + + + + + + + + + + +
헤더 타입{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}아니오
+ +

문법

+ +
Range: <unit>=<range-start>-
+Range: <unit>=<range-start>-<range-end>
+Range: <unit>=<range-start>-<range-end>, <range-start>-<range-end>
+Range: <unit>=<range-start>-<range-end>, <range-start>-<range-end>, <range-start>-<range-end>
+ +

지시자

+ +
+
<unit>
+
범위를 결정하는 단위. 보통 bytes.
+
+ +
+
<range-start>
+
범위 요청의 시작 지점을 알리는 단위를 뜻하는 정수.
+
<range-end>
+
요청한 범위의 끝을 알리는 단위를 의미하는 정수. 이 값은 옵션으로 사용할 수 있으며, 생략한다면 문서의 끝부분을 요청의 끝으로 사용함.
+
+ +

예제

+ +
Range: bytes=200-1000, 2000-6576, 19000-
+
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7233", "Range", "3.1")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Range")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/referer/index.html b/files/ko/web/http/headers/referer/index.html new file mode 100644 index 0000000000..9d66b4fa78 --- /dev/null +++ b/files/ko/web/http/headers/referer/index.html @@ -0,0 +1,79 @@ +--- +title: Referer +slug: Web/HTTP/Headers/Referer +translation_of: Web/HTTP/Headers/Referer +--- +
{{HTTPSidebar}}
+ +

Referer 요청 헤더는 현재 요청된 페이지의 링크 이전의 웹 페이지 주소를 포함합니다. Referer 헤더는 사람들이 어디로부터 와서 방문 중인지를 인식할 수 있도록 해주며 해당 데이터는 예를 들어, 분석, 로깅, 혹은 캐싱 최적화에 사용될 수도 있습니다.

+ +

referer는 실제로 단어 "referrer"에서 철자를 빼먹은 것입니다. 자세한 내용은 {{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}}을 참고하세요.

+ +
+

Referer 헤더는 사생활과 관련된 브라우징 히스토리에 관한 정보를 노출할 가능성이 있습니다.

+
+ +

Referer 헤더는 다음과 같은 경우 브라우저에 의해 전송되지 않습니다:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Referer: <url>
+
+ +

디렉티브

+ +
+
<url>
+
현재 요청된 페이지의 링크 이전의 웹 페이지의 절대 혹은 부분 주소. URL 프래그먼트(예를 들어, "#section")는 포함되지 않습니다.
+
+ +

예제

+ +
Referer: https://developer.mozilla.org/en-US/docs/Web/JavaScript
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Referer", "5.5.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Referer")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/retry-after/index.html b/files/ko/web/http/headers/retry-after/index.html new file mode 100644 index 0000000000..111031be3b --- /dev/null +++ b/files/ko/web/http/headers/retry-after/index.html @@ -0,0 +1,80 @@ +--- +title: Retry-After +slug: Web/HTTP/Headers/Retry-After +translation_of: Web/HTTP/Headers/Retry-After +--- +
{{HTTPSidebar}}
+ +

Retry-After 응답 HTTP 헤더는 다음에 올 요청이 이루어지기 전에 사용자 에이전트가 대기해야 하는 시간을 가르킵니다. 이 헤더가 사용되는 주요한 두 가지 경우가 있습니다:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Retry-After: <http-date>
+Retry-After: <delay-seconds>
+
+ +

디렉티브

+ +
+
<http-date>
+
해당 시간 이후 재시도하도록 합니다. HTTP 날짜 포맷에 과한 더 자세한 내용은 {{HTTPHeader("Date")}} 헤더를 참고하시기 바랍니다.
+
<delay-seconds>
+
응답이 수신된 이후 지연시키기 위한 초를 가르키는 음수를 불허하는 10진수 정수값입니다.
+
+ +

예제

+ +

예정된 다운타임 다루기

+ +

클라이언트와 서버 양측의 Retry-After 헤더 지원은 여전히 부조화스럽습니다. 하지만, Googlebot과 같은, 어떤 크롤러와 스파이더들은 Retry-After 헤더를 지킵니다. 검색 엔진이 다운타임이 경과한 경우 당신의 사이트에 대한 인덱싱을 유지할 것이기에, {{HTTPStatus(503)}} (Service Unavailable) 응답에서 해당 헤더를 함께 보내는 것은 유용합니다.

+ +
Retry-After: Wed, 21 Oct 2015 07:28:00 GMT
+Retry-After: 120
+
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7231", "Retry-After", "7.1.3")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/server/index.html b/files/ko/web/http/headers/server/index.html new file mode 100644 index 0000000000..b1271dd3b2 --- /dev/null +++ b/files/ko/web/http/headers/server/index.html @@ -0,0 +1,70 @@ +--- +title: Server +slug: Web/HTTP/Headers/Server +tags: + - HTTP + - 참고자료 + - 헤더 +translation_of: Web/HTTP/Headers/Server +--- +
{{HTTPSidebar}}
+ +

Server 헤더는 요청을 처리하기 위한 원(origin, 原) 서버의 소프트웨어 정보를 포함하고 있습니다.

+ +

너무 길고 상세한 서버의 정보는 잠재적으로 내부 구현과 상세 정보를 이용하여 잠재적으로 공격을 받을 수 있기 때문에 피해야 합니다. 공격자들은 (약간) 쉽게 알려진 보안상의 문제점을 찾고 터트릴 수 있습니다.

+ + + + + + + + + + + + +
헤더 타입{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}아니오
+ +

문법

+ +
Server: <product>
+
+ +

지시자

+ +
+
<product>
+
요청을 처리하는 소프트웨어 혹은 하위 제품의 이름
+
+ +

예제

+ +
Server: Apache/2.4.1 (Unix)
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7231", "Server", "7.4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Server")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/set-cookie/index.html b/files/ko/web/http/headers/set-cookie/index.html new file mode 100644 index 0000000000..27ffb134fb --- /dev/null +++ b/files/ko/web/http/headers/set-cookie/index.html @@ -0,0 +1,161 @@ +--- +title: Set-Cookie +slug: Web/HTTP/Headers/Set-Cookie +tags: + - HTTP + - 레퍼런스 + - 응답 + - 쿠키 + - 헤더 +translation_of: Web/HTTP/Headers/Set-Cookie +--- +
{{HTTPSidebar}}
+ +

Set-Cookie HTTP 응답 헤더는 서버에서 사용자 브라우저에 쿠키를 전송하기 위해 사용됩니다.

+ +

자세한 정보를 보려면 HTTP cookies에 수록된 가이드를 읽으세요.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Set-Cookie: <cookie-name>=<cookie-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
+Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
+Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Secure
+Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly
+
+Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
+Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
+
+// Multiple directives are also possible, for example:
+Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
+
+ +

디렉티브

+ +
+
<cookie-name>=<cookie-value>
+
쿠키는 "이름-값" 페어로 시작됩니다. +
    +
  • <cookie-name> 는 제어 문자 및 공백, 탭(\t)를 제외한 아스키 문자로 구성되어야 합니다. 또한, "( ) < > @ , ; : \ " /  [ ] ? = { }" 같은 문자도 포함할 수 없습니다.
  • +
  • A <cookie-value> 는 필요하다면 쌍 따운표로 묶여질 수 있고 아스키 코드 문자로 구성되어야 하고, <cookie-name>처럼 제어 문자, 공백, 쌍 따운표, 콤마, 세미콜론, 역 슬래쉬(\)는 사용할 수 없습니다. 엔코딩: 쿠기 값에 대해서 URL 엔코딩을 사용하는 구현 기법들이 많지만, RFC 명세에서 요구하는 것은 아닙니다. 단지, <cookie-value>에 허용된 문자에 대한 요구사항을 만족시킬 뿐이죠.
  • +
  • __Secure- 프리픽스: __Secure- (대쉬는 프리픽스의 일부입니다)로 시작되는 쿠키 이름은 반드시 secure 플래그가 설정되어야 하고, 보안 페이지(HTTPS)여야 합니다.
  • +
  • __Host- 프리픽스: __Host- 로 시작되는 쿠키들은 secure 플래그가 설정되어야 하며, 마찬가지로 보안 페이지(HTTPS)여야 하고, 도메인이 지정되지 않아야 합니다. (따라서 서브 도메인에 쿠키를 공유할 수 없습니다) 그리고, 경로는 반드시 "/"여야 합니다.
  • +
+
+
Expires=<date> {{optional_inline}}
+
+

HTTP 타임스템프로 기록된 쿠키의 최대 생존 시간(수명). 세부 형태를 확인하려면 {{HTTPHeader("Date")}}를 참조하세요. 지정되지 않았다면, 세션 쿠키로서 취급되며, 클라이언트가 종료될 때 파기 됩니다. 그러나 많은 웹 브라우져에서 세션이라고 불리는 기능(그러니까 모든 탭을 기억했다가 브라우져를 다시 켜면 복구된다던지 하는 기능)을 구현합니다. 쿠키들 또한 함께 복원되므로, 정확히 말해서 브라우져를 닫은 적이 없는 게 되는 것이죠.

+ +

만료 시간이 지정되면, 시간 및 날자로 이뤄진 값은 서버가 아니라 클라이언트에 상대적인 값으로 취급됩니다.

+
+
Max-Age=<number> {{optional_inline}}
+
쿠키가 만료될 때 까지의 시간 (초 단위). 0 또는 음수가 지정되면 해당 쿠키는 즉시 만료되며, 오래된 브라우저(ie6, ie7 그리고 ie8)은 이 헤더를 지원하지 않습니다. 다른 브라우저들은 둘 다(Expires 와 Max-Age) 지정되었을 때 Max-Age 값을 더 우선시합니다.
+
Domain=<domain-value> {{optional_inline}}
+
쿠키가 적용되어야 하는 호스트를 지정. 지정되어 있지 않으면 현재 문서 URI를 기준으로 적용됩니다만, 서브 도메인을 포함하지 않습니다. 이전의 설계와 달리, 도메인의 선두에 위치한 점들은 무시됩니다. 도메인이 지정되면, 서브도메인들은 항상 포함됩니다.
+
Path=<path-value> {{optional_inline}}
+
쿠키 헤더를 보내기 전에 요청 된 리소스에 있어야하는 URL 경로를 나타냅니다. % x2F ( "/") 문자는 디렉토리 구분 기호로 해석되며 하위 디렉토리도 일치합니다 (예: path=/docs, "/docs", "/docs/Web/"또는 "/docs/Web/HTTP "가 모두 일치합니다).
+
Secure {{optional_inline}}
+
보안 쿠키들은 서버에서 요청이 SSL을 사용하며, HTTPS 프로토콜을 사용할 때에만 전송됩니다. 그러나 기밀 정보나 민감한 정보들은 HTTP 쿠키에 보관되거나 그걸로 전송되어선 안됩니다. 왜냐하면, 그 전체 메커니즘이 본질적으로 보안이 결여되어 있고, 거기 들어있는 어떤 정보도 암호화되지 않기 때문입니다. +

노트: 비 보안 사이트(http:)들은 "보안" 쿠키를 더이상 설정할 수 없습니다(Chrome 52+ 및 Firefox 52+).

+
+
HttpOnly {{optional_inline}}
+
HTTP-only cookies aren't accessible via JavaScript through the property, the {{domxref("XMLHttpRequest")}} and {{domxref("Request")}} APIs to mitigate attacks against cross-site scripting ({{Glossary("XSS")}}).
+
SameSite=Strict
+ SameSite=Lax {{optional_inline}} {{experimental_inline}}
+
+

Allows servers to assert that a cookie ought not to be sent along with cross-site requests, which provides some protection against cross-site request forgery attacks ({{Glossary("CSRF")}}).

+
+
+ +

Examples

+ + + +

Session cookies will get removed when the client is shut down. They don't specify the Expires or Max-Age directives. Note that web browser have often enabled session restoring.

+ +
Set-Cookie: sessionid=38afes7a8; HttpOnly; Path=/
+ + + +

Instead of expiring when the client is closed, permanent cookies expire at a specific date (Expires) or after a specific length of time (Max-Age).

+ +
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly
+
+ +

Invalid domains

+ +

A cookie belonging to a domain that does not include the origin server should be rejected by the user agent. The following cookie will be rejected if it was set by a server hosted on originalcompany.com.

+ +
Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk; Path=/; Expires=Wed, 30 Aug 2019 00:00:00 GMT
+ + + +

Cookies names with the prefixes __Secure- and __Host- can be used only if they are set with the secure directive from a secure (HTTPS) origin. In addition, cookies with the __Host- prefix must have a path of "/" (the entire host) and must not have a domain attribute. For clients that don't implement cookie prefixes, you cannot count on having these additional assurances and the cookies will always be accepted.

+ +
// Both accepted when from a secure origin (HTTPS)
+Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
+Set-Cookie: __Host-ID=123; Secure; Path=/
+
+// Rejected due to missing Secure directive
+Set-Cookie: __Secure-id=1
+
+// Rejected due to the missing Path=/ directive
+Set-Cookie: __Host-id=1; Secure
+
+// Rejected due to setting a domain
+Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com
+
+ +

Specifications

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("6265", "Set-Cookie", "4.1")}}HTTP State Management Mechanism
draft-ietf-httpbis-rfc6265bis-02Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.Set-Cookie")}}

+ +

Compatibility notes

+ + + +

See also

+ + diff --git a/files/ko/web/http/headers/strict-transport-security/index.html b/files/ko/web/http/headers/strict-transport-security/index.html new file mode 100644 index 0000000000..d80533e014 --- /dev/null +++ b/files/ko/web/http/headers/strict-transport-security/index.html @@ -0,0 +1,108 @@ +--- +title: Strict-Transport-Security +slug: Web/HTTP/Headers/Strict-Transport-Security +translation_of: Web/HTTP/Headers/Strict-Transport-Security +--- +
{{HTTPSidebar}}
+ +

HTTP Strict-Transport-Security response header (종종 {{Glossary("HSTS")}} 로 약칭) 는 HTTP 대신 HTTPS만을 사용하여 통신해야한다고 웹사이트가 브라우저에 알리는 보안 기능.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

Syntax

+ +
Strict-Transport-Security: max-age=<expire-time>
+Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
+Strict-Transport-Security: max-age=<expire-time>; preload
+
+ +

Directives

+ +
+
max-age=<expire-time>
+
이 사이트가 HTTPS 로만 접근되어야 한다고 기억되어야 하는 시간(초).
+
includeSubDomains {{optional_inline}}
+
이 옵션이 적용되면, 이 사이트의 모든 서브도메인에 규칙이 적용된다는 것을 의미한다.
+
preload {{optional_inline}}
+
자세한 내용은 다음 {{anch("Preloading Strict Transport Security")}} 을 참고.
+
+ +

Description

+ +

만약 이 웹사이트가 HTTP 요청을 받고 HTTPS 로 리다이렉트 하는 경우에, 유저가 만약 http://www.foo.com/ 을 입력하거나, 심지어 foo.com 만 입력하는 경우에, 리다이렉트 되기 이전의 암호화 되지 않은 버전의 사이트와 통신하게 된다. 이 경우, 안전한 버전의 원본 페이지가 아닌 악의적인 다른 페이지로 리다이렉트 되는 man-in-the-middle attack 의 잠재적 위험이 있다. 

+ +

HTTP Strict Transport Security 헤더는 웹사이트가 브라우저에게 절대로 HTTP 로 사이트를 연결하면 안되고 HTTP 로 연결하려는 모든 시도는 자동으로 HTTPS로 변경해야 된다고 알린다. 

+ +
Note: Strict-Transport-Security 헤더는 사이트에 HTTP 로 접근되었을때에는 무시된다. 공격자가 HTTP 연결을 가로채어 헤더를 주입하거나 제거했을 수 있기 때문이다.  만약 당신의 사이트가 HTTPS 로 접근되었고 인증 에러도 없었다면,  브라우저는 당신의 사이트가 HTTPS 를 사용할 수 있음을 알고, Strict-Transport-Security  헤더를 사용한다. 
+ +

An example scenario

+ +

당신은 공항의 무료 WiFi 에 로그인하여 웹서핑을 시작하여, 잔고 확인과 영수 처리를 하기 위해 온라인 뱅킹을 시작했다. 하지만, 당신이 사용중인 access point 는 사실은 해커의 노트북이고, 그는 당신의 원본 HTTP 리퀘스트를 가로채어 진짜 은행 사이트가 아닌 가짜 은행 사이트로 리다이렉트 했다. 당신의 비공개 데이터는 해커에게 노출되었다.

+ +

당신이 HTTPS 를 이용해서 은행의 웹사이트를 접근한 적이 있었고, 그 은행의 웹사이트가 Strict Transport Security 를 사용한다면 당신의 브라우저는 자동으로 HTTPS 만 사용할 것이고, 해커가 이러한 man-in-the-middle 공격을 하는것을 방지해준다. 따라서 Strict Transport Security는 이러한 문제를 해결해준다.

+ +

How the browser handles it

+ +

맨 처음 HTTPS 를 이용해서 접근되면 당신의 사이트는 Strict-Transport-Security 헤더를 응답한다. 당신의 브라우저는 이러한 정보를 기록해서 이후에 HTTP 로 접근하려는 시도를 자동으로 HTTPS 를 사용하도록 변경한다. 

+ +

만약 Strict-Transport-Security 헤더에 명시된 만료시간(expiration time)이 지나면, HTTP 로 접근하려는 다음 시도는 HTTPS 를 사용하지 않는다.

+ +

Strict-Transport-Security 헤더가 브라우저에게 제공되면, 브라우저는 해당 사이트의 만료시간을 갱신하여 만료되지 않도록 한다. Strict Transport Security 헤더를 의 max-age 값을 0으로 지정(HTTPS 연결중)하면 Strict-Transport-Security헤더가 즉시 비활성 되어 HTTP 를 통한 접근이 허용된다.

+ +

Preloading Strict Transport Security

+ +

구글은 HSTS preload service 를 관리하고 있다. 가이드라인을 따르고 당신의 도메인 등록을 성공하면, 브라우저는 당신의 도메인에 안전하지 않은 연결을 하지 않게 된다. 이 서비스는 구글에 의해 제공되지만, 모든 브라우저는 preload list 를 사용하겠다는 의도를 밝혔다(혹은 실제로 사용하고있다). 

+ + + +

Examples

+ +

모든 서브도메인을 포함해서 최대 1년간 HTTPS 를 통해 접근하겠다는 이 페이지와 서브도메인들 모두 HTTP 를 통한 접근을 막는다.

+ +
Strict-Transport-Security: max-age=31536000; includeSubDomains
+ +

Specifications

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('HSTS')}}{{Spec2('HSTS')}}Initial definition
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.Strict-Transport-Security")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/transfer-encoding/index.html b/files/ko/web/http/headers/transfer-encoding/index.html new file mode 100644 index 0000000000..0b2f3900fc --- /dev/null +++ b/files/ko/web/http/headers/transfer-encoding/index.html @@ -0,0 +1,104 @@ +--- +title: Transfer-Encoding +slug: Web/HTTP/Headers/Transfer-Encoding +translation_of: Web/HTTP/Headers/Transfer-Encoding +--- +
{{HTTPSidebar}}
+ +

Transfer-Encoding 헤더는 사용자에게 {{Glossary("Entity header","entity")}}를 안전하게 전송하기 위해 사용하는 인코딩 형식을 지정합니다.

+ +

Transfer-Encoding은 hop-by-hop 헤더로, 리소스 자체가 아닌 두 노드 사이에 메시지를 적용하는 것입니다. 다중-노드 연결의 각각의 세그먼트는 Transfer-Encoding 의 값을 다르게 사용할 수 있습니다. 만약 전체 연결에 있어 데이터를 압축하고자 한다면, end-to-end 헤더인 {{HTTPHeader("Content-Encoding")}} 헤더를 대신 사용하시기 바랍니다.

+ +

본문이 없는 {{HTTPMethod("HEAD")}} 요청에 대한 응답은 그에 대한 {{HTTPMethod("GET")}} 메시지에 적용될 값을 나타냅니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}yes
+ +

구문

+ +
Transfer-Encoding: chunked
+Transfer-Encoding: compress
+Transfer-Encoding: deflate
+Transfer-Encoding: gzip
+Transfer-Encoding: identity
+
+// 어떤 값들은 쉼표로 구분하여 나열될 수 있습니다
+Transfer-Encoding: gzip, chunked
+ +

디렉티브

+ +
+
chunked
+
데이터가 일련의 청크 내에서 전송됩니다. {{HTTPHeader("Content-Length")}} 헤더는 이 경우 생략되며, 각 청크의 앞부분에 현재 청크의 길이가 16진수 형태로 오고 그 뒤에는 '\r\n'이 오고 그 다음에 청크 자체가 오며, 그 뒤에는 다시 '\r\n'이 옵니다. 종료 청크는 그것의 길이가 0인 것을 제외하면 일반적인 청크와 다르지 않습니다. 그 다음에는 (비어있을수도 있는) 연속된 엔티티 헤더 필드로 구성된 트레일러가 옵니다.
+
compress
+
Lempel-Ziv-Welch (LZW) 알고리즘을 사용하는 형식. 값의 이름은 이 알고리즘을 구현한, UNIX compress 프로그램에서 차용된 것입니다.
+ 대부분의 UNIX 배포판에서 제외된 압축 프로그램처럼, 이 content-encoding은 어느 정도는 (2003년에 기한이 만료된) 특허 문제로 인해 오늘날 거의 대부분의 브라우저에서 사용되지 않고 있습니다.
+
deflate
+
(RFC 1951에 정의된) deflate 압축 알고리즘과 함께 (RFC 1950에서 정의된) zlib 구조체를 사용합니다.
+
gzip
+
32비트 CRC를 이용한 Lempel-Ziv coding (LZ77)을 사용하는 형식. 이것은 근본적으로 UNIX gzip 프로그램의 형식입니다. 또한, HTTP/1.1 표준은 이 content-encoding을 지원하는 서버는 호환성 목적을 위해 x-gzip 을 별칭으로 인지할 것을 권고하고 있습니다.
+
identity
+
정체성 기능 (즉, 압축이나 수정이 없는) 을 나타냅니다. 이 토크은 명시적으로 지정되는 경우를 제외하고 항상 허용 가능한 것으로 간주됩니다.
+
+ +

예제

+ +

청크 분할 인코딩

+ +

청크 분할 인코딩은 더 많은 양의 데이터가 클라이언트에 전송되고 요청이 완전히 처리되기 전까지는 응답의 전체 크기를 알지 못하는 경우 유용하다. 데이터베이스 쿼리의 결과가 될 큰 HTML 테이블을 생성하는 경우나 큰 이미지를 전송하는 경우가 그 예입니다. 청크 분할 응답은 다음과 같습니다:

+ +
HTTP/1.1 200 OK
+Content-Type: text/plain
+Transfer-Encoding: chunked
+
+7\r\n
+Mozilla\r\n
+9\r\n
+Developer\r\n
+7\r\n
+Network\r\n
+0\r\n
+\r\n
+ +

명세서

+ + + + + + + + + + + + +
명세제목
{{RFC("7230", "Transfer-Encoding", "3.3.1")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

브라우저 호환성

+ + + +

{{Compat("http/headers/transfer-encoding")}}

+ +

함께 참고할 내용들

+ + diff --git a/files/ko/web/http/headers/vary/index.html b/files/ko/web/http/headers/vary/index.html new file mode 100644 index 0000000000..8743328eb1 --- /dev/null +++ b/files/ko/web/http/headers/vary/index.html @@ -0,0 +1,82 @@ +--- +title: Vary +slug: Web/HTTP/Headers/Vary +translation_of: Web/HTTP/Headers/Vary +--- +
{{HTTPSidebar}}
+ +

Vary 헤더는 캐시 된 응답을 향후 요청들에서 오리진 서버로 새로운 요청 헤더를 요청하는 대신 사용할 수 있는지 여부를 결정합니다. 이것은 서버에서 컨텐츠 협상 알고리즘에 어떤 리소스를 선택을 할 것인지를 가르킵니다.

+ +

Vary 헤더는 {{HTTPStatus("200")}} OK 응답과 동일하게 {{HTTPStatus("304")}} Not Modified 응답에서도 설정 되어야 합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
Vary: *
+Vary: <header-name>, <header-name>, ...
+
+ +

지시자

+ +
+
*
+
각 요청에 대해서 유일하며 캐시 할 수 없는 요청으로 간주합니다.
+ 이보다 더 좋은 방법으로 {{HTTPHeader("Cache-Control")}}: no-store, 를 사용 하는것이 객체를 저장하면 안된다는 의미로 좀더 명확하게 표시되고 읽을 수 있습니다.
+
<header-name>
+
헤더 이름은 쉼표로 구분되며 캐시 된 응답을 사용할 수 있는지 여부를 결정할 때 사용 됩니다.
+
+ +

예제

+ +

동적 제공

+ +

Vary: User-Agent 헤더를 사용시 캐싱 서버는 캐시된 페이지를 응답할지 여부를 User-Agent 로 고려해야합니다. 예를 들어, 모바일 유저에게 다른 컨텐츠를 제공해야 할 경우, 모바일 유저에게 데스크탑 유저를 위한 캐시 컨텐츠가 제공 되는것을 피할 수 있습니다. 구글이나 다른 검색 엔진등 에서 모바일 버전을 발견 할수 있는데 도움이 되며, 클로킹이 의도되지 않는다고 볼 수도 있습니다.

+ +
Vary: User-Agent
+ +

기술 사양

+ + + + + + + + + + + + +
기술 사양제목
{{RFC("7231", "Vary", "7.1.4")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Vary")}}

+ +

호환성 노트

+ + + +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/via/index.html b/files/ko/web/http/headers/via/index.html new file mode 100644 index 0000000000..80bc54a6ff --- /dev/null +++ b/files/ko/web/http/headers/via/index.html @@ -0,0 +1,79 @@ +--- +title: Via +slug: Web/HTTP/Headers/Via +tags: + - 한국어 + - 헤더 +translation_of: Web/HTTP/Headers/Via +--- +
{{HTTPSidebar}}
+ +

Via 헤더는 요청헤더와 응답헤더에 포워드 프록시와 리버스 프록시에 의해서 추가 됩니다. 이 것은 포워드 메시지를 추적하거나, 요청 루프 방지, 요청과 응답 체인에 따라 송신자의 프로토콜 정보를 식별 합니다.

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}yes
+ +

문법

+ +
Via: [ <protocol-name> "/" ] <protocol-version> <host> [ ":" <port> ]
+or
+Via: [ <protocol-name> "/" ] <protocol-version> <pseudonym>
+
+ +

지시자

+ +
+
<protocol-name>
+
선택사항. "HTTP" 와 같은 사용된 프로토콜의 이름.
+
<protocol-version>
+
"1.1" 과 같이 사용된 프로토콜의 버전.
+
<host> and <port>
+
공용 프록시의 URL 과 port.
+
<pseudonym>
+
내부 프록시의 이름 또는 별칭.
+
+ +

예제

+ +
Via: 1.1 vegur
+Via: HTTP/1.1 GWA
+Via: 1.0 fred, 1.1 p.example.net
+
+ +

기술사양

+ + + + + + + + + + + + +
기술사양제목
{{RFC("7230", "Via", "5.7.1")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.Via")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/x-forwarded-for/index.html b/files/ko/web/http/headers/x-forwarded-for/index.html new file mode 100644 index 0000000000..9af08b5213 --- /dev/null +++ b/files/ko/web/http/headers/x-forwarded-for/index.html @@ -0,0 +1,81 @@ +--- +title: X-Forwarded-For +slug: Web/HTTP/Headers/X-Forwarded-For +tags: + - HTTP + - HTTP 헤더 + - Reference + - 비표준 + - 요청 헤더 + - 헤더 +translation_of: Web/HTTP/Headers/X-Forwarded-For +--- +
{{HTTPSidebar}}
+ +

X-Forwarded-For (XFF) 헤더는 HTTP 프록시나 로드 밸런서를 통해 웹 서버에 접속하는 클라이언트의 원 IP 주소를 식별하는 사실상의 표준 헤더다. 클라이언트와 서버 중간에서 트래픽이 프록시나 로드 밸런서를 거치면, 서버 접근 로그에는 프록시나 로드 밸런서의 IP 주소만을 담고 있다. 클라이언트의 원 IP 주소를 보기위해 X-Forwarded-For 요청 헤더가 사용된다.

+ +

이 헤더는 디버깅, 통계, 그리고 위치 종속적인 컨텐츠를 위해 사용되고, 클라이언트의 IP 주소 등과 같은 민감한 개인정보를 노출시킨다. 그러므로 이 헤더를 사용할 때에는 사용자의 프라이버시를 주의해야 한다.

+ +

이 헤더의 표준화된 버전은 HTTP {{HTTPHeader("Forwarded")}} 헤더다.

+ +

X-Forwarded-For 은 이메일 메시지가 다른 계정으로부터 포워딩되었음을 나타내는 이메일 헤더이기도 하다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
X-Forwarded-For: <client>, <proxy1>, <proxy2>
+
+ +

지시자

+ +
+
<client>
+
클라이언트 IP 주소
+
<proxy1>, <proxy2>
+
하나의 요청이 여러 프록시들을 거치면, 각 프록시의 IP 주소들이 차례로 열거된다. 즉, 가장 오른쪽 IP 주소는 가장 마지막에 거친 프록시의 IP 주소이고, 가장 왼쪽의 IP 주소는 최초 클라이언트의 IP 주소다.
+
+ +

예제

+ +
X-Forwarded-For: 2001:db8:85a3:8d3:1319:8a2e:370:7348
+
+X-Forwarded-For: 203.0.113.195
+
+X-Forwarded-For: 203.0.113.195, 70.41.3.18, 150.172.238.178
+
+ +

다른 비표준 형태:

+ +
# 몇몇 구글 서비스에서 사용된다
+X-ProxyUser-Ip: 203.0.113.19
+ +

기술명세

+ +

현재 어떠한 표준 명세에도 속하지 않는다. 이 헤더의 표준화 버전은 {{HTTPHeader("Forwarded")}} 이다.

+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.X-Forwarded-For")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/x-forwarded-host/index.html b/files/ko/web/http/headers/x-forwarded-host/index.html new file mode 100644 index 0000000000..6efc37a374 --- /dev/null +++ b/files/ko/web/http/headers/x-forwarded-host/index.html @@ -0,0 +1,74 @@ +--- +title: X-Forwarded-Host +slug: Web/HTTP/Headers/X-Forwarded-Host +tags: + - HTTP + - HTTP Header + - Non-standard + - Reference + - Request header + - header + - 레퍼런스 + - 비표준 + - 요청헤더 + - 헤더 +translation_of: Web/HTTP/Headers/X-Forwarded-Host +--- +
{{HTTPSidebar}}
+ +

X-Forwarded-Host (XFH) 헤더는 HTTP 요청 헤더에서 클라이언트가 요청한 원래 {{HTTPHeader("Host")}} 헤더를 식별하는 사실상의 표준 헤더입니다.

+ +

리버스 프록시(로드발란서, CDN) 에서 Host 이름과 포트는 요청을 처리 하는 Origin 서버와 다를 수 있습니다. 이러한 경우 X-Forwarded-Host 헤더는 원래 사용된 Host 를 확인 하는데 유용 합니다.

+ +

이 헤더는 디버깅, 통계 및 위치 종속 컨텐츠 생성에 사용되며 설계 상 클라이언트의 IP 주소와 같은 개인 정보에 민감한 정보를 노출합니다. 따라서이 헤더가 사용될 때 사용자의 개인 정보를 염두에 두어야합니다.

+ +

이 헤더의 표준화된 버전은 HTTP {{HTTPHeader("Forwarded")}} 헤더 입니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
X-Forwarded-Host: <host>
+
+ +

지시자

+ +
+
<host>
+
전달된 서버의 도메인 이름.
+
+ +

예제

+ +
X-Forwarded-Host: id42.example-cdn.com
+
+ +

기술명세

+ +

현재 어떠한 표준 명세에도 속하지 않는다. 이 헤더의 표준화 버전은 {{HTTPHeader("Forwarded")}} 입니다.

+ +

브라우저 호환성

+ + + +

{{Compat("http.headers.X-Forwarded-Host")}}

+ +

함께 참고할 내용

+ + diff --git a/files/ko/web/http/headers/x-forwarded-proto/index.html b/files/ko/web/http/headers/x-forwarded-proto/index.html new file mode 100644 index 0000000000..d81782152e --- /dev/null +++ b/files/ko/web/http/headers/x-forwarded-proto/index.html @@ -0,0 +1,61 @@ +--- +title: X-Forwarded-Proto +slug: Web/HTTP/Headers/X-Forwarded-Proto +translation_of: Web/HTTP/Headers/X-Forwarded-Proto +--- +
{{HTTPSidebar}}
+ +

X-Forwarded-Proto (XFP) 헤더는 클라이언트가 당신의 프록시 또는 로드 밸런서에 접속하는데에 사용했던 프로토콜(HTTP 또는 HTTPS)이 무엇인지 확인하는 사실상의 표준 헤더 입니다. 당신의 서버 접근 로그들은 서버와 로드 밸런서 사이에서 사용된 프로토콜을 포함하고 있습니다. 그러나 클라이언트와 로드밸런서에 사용한 프로토콜은 포함되어 있지 않습니다. 클라이언트와 로드밸런서 간의 사용된 프로토콜을 확인하기 위해서, X-Forwarded-Proto 요청 헤더가 사용되어 질 수 있습니다.

+ +

이 헤더의 표준화된 버전은 HTTP {{HTTPHeader("Forwarded")}} 헤더 입니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

Syntax

+ +
X-Forwarded-Proto: <protocol>
+
+ +

Directives

+ +
+
<protocol>
+
넘겨져야 할 프로토콜 (http 또는 https).
+
+ +

Examples

+ +
X-Forwarded-Proto: https
+ +

그 외의 비표준 폼:

+ +
# Microsoft
+Front-End-Https: on
+
+X-Forwarded-Protocol: https
+X-Forwarded-Ssl: on
+X-Url-Scheme: https
+
+ +

Specifications

+ +

어떠한 현재의 명세에도 포함되어 있지 않습니다. 이 헤더의 표준화된 버전은 {{HTTPHeader("Forwarded")}} 입니다..

+ +

See also

+ + diff --git a/files/ko/web/http/headers/x-frame-options/index.html b/files/ko/web/http/headers/x-frame-options/index.html new file mode 100644 index 0000000000..75e72e0ded --- /dev/null +++ b/files/ko/web/http/headers/x-frame-options/index.html @@ -0,0 +1,129 @@ +--- +title: X-Frame-Options +slug: Web/HTTP/Headers/X-Frame-Options +translation_of: Web/HTTP/Headers/X-Frame-Options +--- +
{{HTTPSidebar}}
+ +

The X-Frame-Options HTTP 응답 헤더는 해당 페이지를 {{HTMLElement("frame")}} 또는{{HTMLElement("iframe")}}, {{HTMLElement("object")}} 에서 렌더링할 수 있는지 여부를 나타내는데 사용됩니다. 사이트 내 콘텐츠들이 다른 사이트에 포함되지 않도록 하여 {{interwiki("wikipedia", "clickjacking")}} 공격을 막기 위해 이 헤더를 사용합니다.

+ +

이 설정은 사용자가  X-Frame-Options를 지원하는 브라우저를 통해 페이지에 접근할 경우에만 보안됩니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

Syntax

+ +

X-Frame-Options 과 관련해서는 다음의 3가지 설정이 가능합니다.

+ +
X-Frame-Options: deny
+X-Frame-Options: sameorigin
+X-Frame-Options: allow-from https://example.com/
+
+ +

Directives

+ +

deny는 같은 사이트 내에서 frame을 통한 접근도 막습니다.
+ sameorigin를 명시할 경우에는 frame에 포함된 페이지가 페이지를 제공하는 사이트와 동일한할 경우 계속 사용할 수 있습니다.

+ +
+
deny
+
어떠한 사이트에서도 frame 상에서 보여질 수 없습니다.
+
sameorigin
+
동일한 사이트의 frame에서만 보여집니다. 해당 스펙 안에서 브라우저 벤더가 최상위(top level), 혹은 부모(parent), 모든 체인(whole chain)에서 적용할지를 결정하도록 맡겨집니다. 하지만 모든 조상(ancestor)이 동일한 사이트에서 제공되지 않으면 이 옵션은 그다지 유용하지 않다고 논의되고 있습니다. (참고 {{bug(725490)}}). 상세 지원사항에 대한 참고 {{anch("Browser compatibility")}}.
+
allow-from uri
+
지정된 특정 uri의 frame 에서만 보여집니다. 파이어폭스에서는 sameorigin 과 동일한 문제를 겪고 있습니다. 즉 동일한 사이트에 있는지에 대해서 frame의 조상(ancestor)을 확인하지 않습니다.
+
+ +

예시

+ +
+

Note: 메타 테그 설정은 무용지물이다! 이를테면, <meta http-equiv="X-Frame-Options" content="deny"> 태그는 아무런 영향을 미치지 않는다. 따라서 사용하지지 말ㄹ! 오직 아래의 예제처럼 HTTP 헤더 설정을 통해서만X-Frame-Options이 동작한다.

+
+ +

Apache 설정

+ +

아파치에서 모든 페이지에 X-Frame-Options 헤더를 전송하려면, 사이트 설정에 다음의 설정을 추가합니다.

+ +
Header always set X-Frame-Options "sameorigin"
+
+ +

아파치에서 X-Frame-Options 거부(deny)하려면, 사이트 설정에 다음의 설정을 추가합니다.

+ +
Header set X-Frame-Options "deny"
+
+ +

아파치에서 특정 호스트(host)에서 X-Frame-Options 를 허용하려면(allow-from), 사이트 설정에 다음의 설정을 추가합니다.

+ +
Header set X-Frame-Options "allow-from https://example.com/"
+
+ +

nginx 설정

+ +

nginx에서 X-Frame-Options 헤더를 전송하려면 http, server, location 설정에 아래 설정을 추가합니다.

+ +
add_header X-Frame-Options sameorigin;
+
+ +

IIS 설정

+ +

ISS에서 X-Frame-Options 헤더를 전송하려면, 사이트의 Web.config 파일에 다음을 추가합니다.

+ +
<system.webServer>
+  ...
+
+  <httpProtocol>
+    <customHeaders>
+      <add name="X-Frame-Options" value="sameorigin" />
+    </customHeaders>
+  </httpProtocol>
+
+  ...
+</system.webServer>
+
+ +

HAProxy 설정

+ +

HAProxy에서 X-Frame-Options 헤더를 전송하려면, front-end, listen, 혹은 backend 설정에 다음을 추가합니다.

+ +
rspadd X-Frame-Options:\ sameorigin
+ +

Specifications

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7034")}}HTTP Header Field X-Frame-Options
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.X-Frame-Options")}}

+ +

See also

+ + diff --git a/files/ko/web/http/headers/x-xss-protection/index.html b/files/ko/web/http/headers/x-xss-protection/index.html new file mode 100644 index 0000000000..9248414264 --- /dev/null +++ b/files/ko/web/http/headers/x-xss-protection/index.html @@ -0,0 +1,83 @@ +--- +title: X-XSS-Protection +slug: Web/HTTP/Headers/X-XSS-Protection +translation_of: Web/HTTP/Headers/X-XSS-Protection +--- +
{{HTTPSidebar}}
+ + + +

HTTP X-XSS-Protection헤더는 Internet Explorer, Chrome 및 Safari에서 제공하는 기능으로서, ({{Glossary("XSS")}}) 공격을 감지 할 때 페이지 로드를 중지시킬 수 있습니다. 최신 브라우저에서는 Inline Javascript('unsafe-inline')사용을 못하게 하는 CSP(Content-Security-Policy) 보호기능이 있으나, 해당 기능을 지원하지 않는 구형 웹브라우저에서 사용자를 보호 할수 있는 기능을 제공할 수 있습니다.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

문법

+ +
X-XSS-Protection: 0
+X-XSS-Protection: 1
+X-XSS-Protection: 1; mode=block
+X-XSS-Protection: 1; report=<reporting-uri>
+
+ +
+
0
+
XSS 필터링을 비활성화합니다.
+
1
+
XSS 필터링을 사용합니다 (일반적으로 브라우저의 기본값입니다). 사이트 내에서 스크립팅 공격이 감지되면 브라우저는 안전하지 않은 영역을 제거 후에 렌더링을 하게 됩니다.
+
1; mode=block
+
XSS 필터링을 사용합니다. 공격이 탐지되면 안전하지 않는 영역을 제거하는게 아니라, 페이지 렌더링을 중단합니다.
+
1; report=<reporting-URI>  (Chromium에서만 사용 가능)
+
XSS 필터링을 사용합니다. XSS 공격을 탐지하면 브라우저는 페이지 렌더링을 차단하고 위반 사항을 보고합니다. 이것은 CSP {{CSP ( "report-uri")}} 지시문의 기능을 사용하여 보고서를 보냅니다.
+
+ +

예제

+ +

XSS 공격을 감지하면 페이지로드를 차단합니다.

+ +
X-XSS-Protection: 1; mode=block
+ +

PHP

+ +
header("X-XSS-Protection: 1; mode=block");
+ +

Apache (.htaccess)

+ +
<IfModule mod_headers.c>
+  Header set X-XSS-Protection "1; mode=block"
+</IfModule>
+ +

Nginx

+ +
add_header "X-XSS-Protection" "1; mode=block";
+ +

Specifications

+ +

Not part of any specifications or drafts.

+ +

지원 브라우저

+ + + +

{{Compat("http.headers.X-XSS-Protection")}}

+ +

See also

+ + -- cgit v1.2.3-54-g00ecf