HTTPS 헤더를 보는 방법 - WKB202467

목적 또는 목표

HTTP 요청 및 반응 헤더를 확인하여 Waters 소프트웨어 제품의 HTTPS 연결 문제를 해결합니다.

환경

• Windows 10
• Windows 서버 2019/2016/2012
• Microsoft Edge, Mozilla Firefox, Google Chrome, Internet Explorer(Microsoft Edge의 IE 모드)

절차

1. Web 브라우저의 Developer Tools를 통해 보기(MS Edge, Edge, Chrome, Firefox의 IE 모드에서 사용 가능):
   1. Menu 버튼 > Developer Tools를 클릭합니다. 메뉴 항목의 정확한 이름은 브라우저와 브라우저 버전에 따라 다릅니다. 그러나 "developer tools"(개발자 도구)는 모든 주요 Web 브라우저에서 일반적으로 사용되는 것 같습니다.
   2. Network 탭을 클릭합니다.
   3. 네트워크 활동 기록을 시작합니다.
   4. 해당하는 경우 문제를 재현하거나 Web 사이트를 탐색합니다. HTTP 요청이 기록되고 Developer Tools 탭 또는 창에 표시됩니다.
   5. 적절한 경우 캡처를 중지합니다.
   6. 목록에서 요청 중 하나를 클릭합니다. 이제 해당 요청에 대한 요청 및 응답 헤더가 표시됩니다. 일부 브라우저에서 헤더는 사용자 인터페이스의 별도(separate) 탭에 있습니다.
   7. HTTP 헤더에서 문제에 대한 단서를 확인합니다.
2. cURL을 통해:
   1. https://www.curl.se/에서 적절한 cURL 바이너리 패키지를 다운로드합니다.
   2. 명령 프롬프트를 엽니다.
   3. cURL의 설치 경로로 이동합니다.
   4. 매개 변수를 사용하여 curl.exe를 실행합니다.
      1. 예: curl.exe --include https://server
      2. "--include"는 cURL이 출력에 HTTP 헤더를 포함해야 함을 의미합니다.
      3. "--insecure"는 Web 서버에 자체 서명 된 인증서가 있는 경우 유용합니다. 이 유형의 인증서는 일반적으로 테스트 서버에 사용되며 본질적으로 안전하지 않은 것으로 Web 클라이언트에 의해 거부됩니다. 이 옵션은 제한을 우회하는 가장 편리한 방법입니다. 연결은 여전히 HTTPS를 통해 이루어 지지만 cURL은 인증서 오류를 무시합니다. 또 다른 옵션은 신뢰할 수있는 CA에서 발급한 인증서를 Web 서버에 제공하고 해당 인증서를 신뢰하도록 CA를 설정하는 것입니다.
      4. "--http1.1" 및 "--http2"는 일시적인 전송 오류, 호환되지 않는 서버의 경우, 또는 프로토콜 버전 간 서버 출력의 차이를 확인하기 위해 사용할 HTTP 버전을 지정합니다.
   5. 증거로 남기거나 또는 추가 오프라인 분석을 위해 명령 프롬프트의 출력을 파일로 복사합니다.

추가 정보

요청 헤더는 각 요청의 일부로 Web 클라이언트에 의해 Web 서버에 전송됩니다. 응답 헤더는 Web 클라이언트의 요청에 대한 반응으로 Web 서버에 의해 전송됩니다. 헤더는 요청에 대한 Web 클라이언트와 서버 간의 통신 수단입니다.

특정 HTTP 헤더에 대한 문서:

• X-UA 호환
  • 사이트에 사용할 권장 사용자 에이전트 및 버전을 지정합니다. 주로 Microsoft 및 Google 브라우저에서만 사용됩니다. 레거시 SDMS WebVision 사이트의 경우 "IE = 5"로 설정하고 LMS SampleShare 사이트의 경우 "IE = Edge"로 설정해야 합니다.
  • NuGenesis Web 서버에 X-UA 호환 HTTP 헤더를 추가하는 방법
• 엄격한 전송 보안
  • Web 브라우저가 보안 채널을 통해 사이트에서 이 헤더를 수신할 경우, max-age 속성의 시간 제한에 따라 이 정보를 캐시하고 해당 사이트에 대한 향후 모든 HTTP 요청을 HTTPS로 전달해야 합니다. Web 브라우저는 안전하지 않은 HTTP를 통해 수신된 경우이 헤더를 무시할 것입니다.
  • HTTP Strict Transport Security(HSTS)를 NuGenesis Web 서버와 함께 사용할 수 있습니까?
  • Windows IIS Manager의 기본 Web 사이트에 HSTS(HTTP Strict Transport Security) 헤더를 추가하는 방법
• X-Powered-By
  • 대응에 도움이 된 지원 기술을 지정합니다. Microsoft IIS의 경우 이 헤더는 종종 "ASP.NET"으로 나타납니다. Application Request Module이 반응에 포함된 경우, 헤더에는 "ARR/3.0"이 포함될 수 있습니다(NuGenesis 8 및 9.0-9.2용 SDMS WebVision의 경우). 종종 공격자에게 유용한 서버에 대한 정보를 포함하므로 IIS 내의 모든 사이트에서 이 헤더를 제거하는 것이 좋습니다.
  • Microsoft IIS에서 X-Powered-By HTTP 헤더를 비활성화하는 방법
  • NuGenesis LMS에서 서버 및 X-Powered-By HTTP 헤더를 비활성화하는 방법
• 수용
  • NuGenesis SDMS Web 서버는 사용자가 파일이나 리포트를 다운로드하려고 할 때 "application/nugenesis-sdms"에 대한 HTTP 요청의 수락 헤더를 확인합니다. 헤더에 해당 문자열(대소 문자 구분)이 포함되지 않은 경우, 문서에 설명된대로 서버는 사용자에게 Transfer App을 다운로드하라는 메시지를 표시합니다. WKB967을 참조하십시오.