Internet Engineering Task Force (IETF)

R. Fielding, Editor

Request for Comments: 9111

Adobe

Obsoletes: 7234

M. Nottingham, Editor

STD: 98

Fastly

Category: Standards Track

J. Reschke, Editor

ISSN: 2070-1721

greenbytes

June 2022

HTTP 캐싱

초록

하이퍼텍스트 전송 프로토콜(HTTP)은 분산형, 협업형 하이퍼텍스트 정보 시스템을 위한 상태 없는 애플리케이션 계층 프로토콜입니다. 이 문서는 HTTP 캐시와 캐시 동작을 제어하거나 캐시 가능한 응답 메시지를 나타내는 관련 헤더 필드를 정의합니다.

이 문서는 RFC 7234를 대체합니다.

이 메모의 상태

이 문서는 인터넷 표준 트랙 문서입니다.

이 문서는 인터넷 엔지니어링 태스크 포스(IETF)의 산출물입니다. 이는 IETF 커뮤니티의 합의를 나타냅니다. 공개 검토를 거쳤으며 인터넷 엔지니어링 운영 그룹(IESG)에 의해 출판 승인을 받았습니다. 인터넷 표준에 대한 추가 정보는 RFC 7841의 섹션 2에서 확인할 수 있습니다.

이 문서의 현재 상태, 모든 정오표(errata), 및 이 문서에 대한 의견 제출 방법에 대한 정보는 https://www.rfc-editor.org/info/rfc9111에서 확인할 수 있습니다.

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.

This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.

1. 소개
- 1.1. 요구 사항 표기법
- 1.2. 구문 표기법
  - 1.2.1. Imported Rules
  - 1.2.2. Delta Seconds
2. 캐시 동작 개요
3. 캐시에 응답 저장
4. 캐시에서 응답 구성
5. 필드 정의
- 5.1. Age
- 5.2. Cache-Control
  - 5.2.1. 요청 지시어
    - 5.2.1.1. max-age
    - 5.2.1.2. max-stale
    - 5.2.1.3. min-fresh
    - 5.2.1.4. no-cache
    - 5.2.1.5. no-store
    - 5.2.1.6. no-transform
    - 5.2.1.7. only-if-cached
  - 5.2.2. 응답 지시어
    - 5.2.2.1. max-age
    - 5.2.2.2. must-revalidate
    - 5.2.2.3. must-understand
    - 5.2.2.4. no-cache
    - 5.2.2.5. no-store
    - 5.2.2.6. no-transform
    - 5.2.2.7. private
    - 5.2.2.8. proxy-revalidate
    - 5.2.2.9. public
    - 5.2.2.10. s-maxage
  - 5.2.3. 확장 지시어
  - 5.2.4. 캐시 지시어 레지스트리
- 5.3. Expires
- 5.4. Pragma
- 5.5. Warning
6. 애플리케이션 및 다른 캐시와의 관계
7. 보안 고려사항
- 7.1. 캐시 중독
- 7.2. 타이밍 공격
- 7.3. 민감한 정보의 캐싱
8. IANA 고려사항
9. 참고문헌
- 9.1. 규범적 참고문헌
- 9.2. 정보성 참고문헌
Appendix A. Collected ABNF
Appendix B. Changes from RFC 7234
Acknowledgements
Index
Authors' Addresses

1. 소개

하이퍼텍스트 전송 프로토콜(HTTP)은 네트워크 기반 하이퍼텍스트 정보 시스템과의 유연한 상호작용을 위해 확장 가능한 의미와 자기 설명적인 메시지를 사용하는 상태 비저장 애플리케이션 계층의 요청/응답 프로토콜입니다. 일반적으로 분산 정보 시스템에서 사용되며, 응답 캐시를 사용하면 성능을 향상시킬 수 있습니다. 이 문서는 응답 메시지의 캐싱 및 재사용과 관련된 HTTP의 측면을 정의합니다.

HTTP의 cache는 응답 메시지의 로컬 저장소와 그 안의 메시지 저장, 검색 및 삭제를 제어하는 하위 시스템을 말합니다. 캐시는 향후 동등한 요청에 대해 응답 시간을 줄이고 네트워크 대역폭 소비를 줄이기 위해 캐시 가능한 응답을 저장합니다. 어떠한 클라이언트나 서버도 MAY 캐시를 사용할 수 있으나, 터널로 동작할 때는 사용할 수 없습니다 (섹션 3.7 of [HTTP]).

공유 캐시는 둘 이상의 사용자가 재사용하기 위해 응답을 저장하는 캐시로, 공유 캐시는 보통(항상은 아니지만) 중개자(intermediary)의 일부로 배포됩니다. 반대로 개인 캐시는 단일 사용자 전용이며, 종종 사용자 에이전트의 구성 요소로 배포됩니다.

HTTP 캐싱의 목적은 이전의 응답 메시지를 재사용하여 현재의 요청을 만족시킴으로써 성능을 크게 향상시키는 것입니다. 캐시는 저장된 응답이 이 요청에 대해 "검증(validation)"(저장된 응답이 여전히 유효한지 원본 서버에 확인하는 것) 없이 재사용될 수 있는 경우를 섹션 4.2에 정의된 대로 "신선(fresh)"하다고 간주합니다. 따라서 신선한 응답은 캐시가 이를 재사용할 때마다 지연과 네트워크 오버헤드를 줄일 수 있습니다. 저장된 응답이 신선하지 않을 때에도, 검증을 통해 갱신될 수 있다면(섹션 4.3) 또는 원본이 사용 불가능한 경우(섹션 4.2.4) 재사용될 수 있습니다.

이 문서는 RFC 7234를 대체하며, 변경 사항은 부록 B에 요약되어 있습니다.

1.1. 요구 사항 표기법

이 문서에서 키워드 "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", 및 "OPTIONAL"은 BCP 14의 정의에 따라, 오직 모두 대문자로 나타날 때에만 여기에 설명된 대로 해석되어야 합니다. 자세한 내용은 [RFC2119] 및 [RFC8174]를 참조하십시오.

섹션 2 of [HTTP]는 적합성 기준을 정의하고 오류 처리에 관한 고려사항을 포함합니다.

1.2. 구문 표기법

이 명세서는 [RFC5234]의 확장된 백커스-나우어 형식(ABNF) 표기법을 사용하며, [RFC7405]에서 정의된 문자열의 대소문자 구분 표기법 확장을 포함합니다.

또한 이 명세서는 섹션 5.6.1 of [HTTP]에 정의된 리스트 확장을 사용하여 "#" 연산자를 이용한 쉼표로 구분된 목록의 간결한 정의를 허용합니다(이는 "*" 연산자가 반복을 나타내는 방식과 유사합니다). 부록 A에는 모든 리스트 연산자가 표준 ABNF 표기법으로 확장된 수집된 문법이 표시됩니다.

1.2.1. 가져온 규칙

다음의 핵심 규칙은 참조로 포함되며, 이는 [RFC5234]의 부록 B.1에 정의되어 있습니다: DIGIT (10진수 0-9).

[HTTP]는 다음 규칙들을 정의합니다:

  HTTP-date     = <HTTP-date, see [HTTP], Section 5.6.7>
  OWS           = <OWS, see [HTTP], Section 5.6.3>
  field-name    = <field-name, see [HTTP], Section 5.1>
  quoted-string = <quoted-string, see [HTTP], Section 5.6.4>
  token         = <token, see [HTTP], Section 5.6.2>

1.2.2. 델타 초

delta-seconds 규칙은 초 단위의 시간을 나타내는 음이 아닌 정수를 지정합니다.

  delta-seconds  = 1*DIGIT

delta-seconds 값을 구문 분석하여 이진 형식으로 변환하는 수신자는 적어도 31비트 이상의 비음수 정수 범위를 갖는 산술 형식을 사용해야 합니다. 캐시가 표현할 수 있는 가장 큰 정수보다 큰 delta-seconds 값을 수신하거나 이후 계산 중 오버플로가 발생하면, 캐시는 해당 값을 2147483648(2³¹) 또는 편리하게 표현할 수 있는 가장 큰 양의 정수로 간주해야 합니다(MUST).

2. 캐시 동작 개요

적절한 캐시 동작은 HTTP 전송의 의미론을 보존하면서 캐시에 이미 보유한 정보의 전송을 줄입니다. 일반 용어 및 HTTP의 핵심 개념에 대해서는 섹션 3 of [HTTP]를 참조하십시오.

캐싱은 HTTP의 완전히 OPTIONAL한 기능이지만, 캐시된 응답을 재사용하는 것이 바람직하며 그러한 재사용이 특별한 요구사항이나 로컬 구성에 의해 금지되지 않는 한 기본 동작이라고 가정할 수 있습니다. 따라서 HTTP 캐시의 요구사항은 캐시가 재사용 불가능한 응답을 저장하거나 저장된 응답을 부적절하게 재사용하지 못하도록 방지하는 데 중점을 두며, 캐시가 항상 특정 응답들을 저장하고 재사용하도록 강제하지는 않습니다.

캐시 키는 캐시가 응답을 선택하는 데 사용하는 정보로, 최소한 저장된 응답을 검색하는 데 사용된 요청 메서드와 대상 URI로 구성됩니다. 메서드는 이후의 요청을 충족시키는 데 해당 응답을 어떤 상황에서 사용할 수 있는지를 결정합니다. 그러나 오늘날 흔히 사용되는 많은 HTTP 캐시는 GET 응답만 캐시하므로 캐시 키로 URI만 사용하는 경우가 많습니다.

콘텐츠 협상(content negotiation)의 대상인 요청 대상에 대해 캐시가 여러 응답을 저장할 수 있습니다. 캐시는 Vary 응답 헤더 필드의 정보를 사용하여 원래 요청의 일부 헤더 필드를 캐시 키에 포함함으로써 이러한 응답을 구분합니다(자세한 내용은 섹션 4.1 참조).

캐시는 추가 자료를 캐시 키에 포함할 수 있습니다. 예를 들어, 사용자 에이전트 캐시는 참조 사이트의 정체성을 포함하여 캐시를 "이중 키화(double keying)"하여 일부 프라이버시 위험을 피할 수 있습니다(자세한 내용은 섹션 7.2 참조).

대부분의 경우 캐시는 검색 요청의 성공 결과, 즉 GET 요청에 대한 200 (OK) 응답(대상 리소스의 표현을 포함)을 저장합니다(섹션 9.3.1 of [HTTP]). 그러나 리디렉션, 부정적 결과(예: 404 (Not Found)), 불완전한 결과(예: 206 (Partial Content)) 및 메서드 정의가 그러한 캐싱을 허용하고 캐시 키로 사용하기 적합한 것을 정의하는 경우 GET 이외의 메서드에 대한 응답을 저장하는 것도 가능합니다.

연결이 끊긴(disconnected) 캐시는 원본 서버에 연락할 수 없거나 요청의 전달 경로를 찾을 수 없을 때를 말합니다. 연결이 끊긴 캐시는 일부 상황에서 만료된 응답을 제공할 수 있습니다(섹션 4.2.4).

3. 캐시에 응답 저장

캐시는 다음 조건을 만족하지 않는 한 요청에 대한 응답을 저장해서는 안 됩니다: (MUST NOT store a response to a request unless:)

요청 메서드를 캐시가 이해해야 합니다;
응답 상태 코드는 최종 상태여야 합니다(자세한 내용은 섹션 15 of [HTTP] 참조);
응답 상태 코드가 206 또는 304이거나 must-understand 캐시 지시어(섹션 5.2.2.3)가 있는 경우: 캐시가 해당 응답 상태 코드를 이해해야 합니다;
응답에 no-store 캐시 지시어가 없어야 합니다(자세한 내용은 섹션 5.2.2.5 참조);
캐시가 공유 캐시인 경우: private 응답 지시어가 없거나 공유 캐시가 수정된 응답을 저장할 수 있도록 허용해야 합니다(자세한 내용은 섹션 5.2.2.7 참조);
캐시가 공유 캐시인 경우: 요청에 Authorization 헤더 필드가 없어야 하며(자세한 내용은 섹션 11.6.2 of [HTTP] 참조) 또는 응답에 공유 캐싱을 명시적으로 허용하는 응답 지시어가 있어야 합니다(자세한 내용은 섹션 3.5 참조);
응답에는 다음 중 적어도 하나가 포함되어야 합니다:
- 공개 응답 지시어(자세한 내용은 섹션 5.2.2.9 참조);
- 캐시가 공유 캐시가 아닌 경우 개인 응답 지시어(자세한 내용은 섹션 5.2.2.7 참조);
- Expires 헤더 필드(자세한 내용은 섹션 5.3 참조);
- max-age 응답 지시어(자세한 내용은 섹션 5.2.2.1 참조);
- 캐시가 공유 캐시인 경우: s-maxage 응답 지시어(자세한 내용은 섹션 5.2.2.10 참조);
- 캐시 가능함을 허용하는 캐시 확장(자세한 내용은 섹션 5.2.3 참조); 또는
- 휴리스틱으로 캐시 가능하다고 정의된 상태 코드(자세한 내용은 섹션 4.2.2 참조).

캐시 확장은 위에 나열된 요구사항을 재정의할 수 있습니다. 자세한 내용은 섹션 5.2.3를 참조하십시오.

이 문맥에서 캐시가 요청 메서드 또는 응답 상태 코드를 "이해했다"고 하는 것은 그것을 인식하고 지정된 모든 캐싱 관련 동작을 구현한다는 것을 의미합니다.

일반적인 동작에서는 일부 캐시가 캐시 검증자(validator)도 명시적 만료 시간도 없는 응답을 저장하지 않을 수 있습니다. 이러한 응답은 보통 저장해도 유용하지 않기 때문입니다. 그러나 캐시가 이러한 응답을 저장하는 것이 금지되지는 않습니다.

3.1. 헤더 및 트레일러 필드 저장

캐시는 응답을 저장할 때 인식하지 못하는 필드를 포함하여 수신한 모든 응답 헤더 필드를 포함해야 합니다(MUST); 이는 새로운 HTTP 헤더 필드가 성공적으로 배포될 수 있게 보장합니다. 다만 다음과 같은 예외가 있습니다:

Connection 헤더 필드와 그 안에 나열된 필드 이름은 섹션 7.6.1 of [HTTP]에 의해 메시지를 전달하기 전에 제거되어야 합니다. 이는 저장 전에 제거함으로써 구현될 MAY 있습니다.
마찬가지로 일부 필드의 의미론은 메시지를 전달하기 전에 해당 필드들을 제거하도록 요구하며, 이는 저장 전에 제거함으로써 구현될 수 있습니다(이 역시 MAY). 몇 가지 예는 섹션 7.6.1 of [HTTP]를 참조하십시오.
no-cache(섹션 5.2.2.4) 및 private(섹션 5.2.2.7) 캐시 지시어는 각각 모든 캐시 또는 공유 캐시가 헤더 필드를 저장하는 것을 방지하는 인수를 가질 수 있습니다.
캐시가 요청을 전달할 때 사용하는 프록시에 특화된 헤더 필드는, 캐시가 프록시의 정체성을 캐시 키에 포함하지 않는 한 저장해서는 안 됩니다(MUST NOT). 사실상 이는 Proxy-Authenticate(섹션 11.7.1 of [HTTP]), Proxy-Authentication-Info(섹션 11.7.3 of [HTTP]), 및 Proxy-Authorization(섹션 11.7.2 of [HTTP])에 국한됩니다.

캐시는 트레일러 필드를 헤더 필드와 별도로 저장하거나 버릴 수 있습니다(MAY). 그러나 캐시는 트레일러 필드를 헤더 필드와 결합해서는 안 됩니다(MUST NOT).

3.2. 저장된 헤더 필드 업데이트

캐시는 여러 상황에서(예: 섹션 3.4, 섹션 4.3.4, 및 섹션 4.3.5 참조) 다른(일반적으로 더 최신의) 응답으로부터 저장된 응답의 헤더 필드를 업데이트해야 합니다.

그렇게 할 때 캐시는 제공된 응답의 각 헤더 필드를 저장된 응답에 추가하고, 이미 존재하는 필드 값을 대체해야 합니다(MUST). 다만 다음은 예외입니다:

섹션 3.1(헤더 및 트레일러 필드 저장)에서 저장에서 제외된 헤더 필드,
캐시의 저장된 응답이 의존하는 헤더 필드(아래 설명 참조),
수신자가 자동으로 처리하고 제거하는 헤더 필드(아래 설명 참조), 및
Content-Length 헤더 필드.

일부 경우(특히 사용자 에이전트의 캐시)에는 수신된 응답을 처리한 결과를 저장하고 응답 자체를 저장하지 않으며, 이러한 저장된 처리 결과에 영향을 미치는 헤더 필드를 업데이트하면 일관성 문제와 보안 문제가 발생할 수 있습니다. 이러한 상황의 캐시는 예외적으로 이러한 헤더 필드를 저장된 응답의 업데이트에서 생략할 수(MAY) 있지만, 그러한 생략은 저장된 응답의 무결성을 보장하는 데 필요한 필드로 제한해야 합니다(SHOULD).

예를 들어, 브라우저는 응답을 수신하는 동안 콘텐츠 인코딩을 디코드하여 저장된 데이터와 응답의 원래 메타데이터 사이에 불일치가 생길 수 있습니다. 이러한 경우 저장된 메타데이터를 서로 다른 Content-Encoding 헤더 필드로 업데이트하는 것은 문제를 일으킬 수 있습니다. 마찬가지로 브라우저가 응답에서 받은 콘텐츠 대신 파싱된 HTML 트리를 저장하는 경우, Content-Type 헤더 필드를 업데이트하는 것은 파싱 시 형식에 대한 가정이 더 이상 유효하지 않게 되어 작동하지 않을 것입니다.

더욱이 일부 필드는 Content-Range 헤더 필드와 같이 HTTP 구현에 의해 자동으로 처리되고 제거됩니다. 구현체는 그러한 헤더 필드를 실제로 처리하지 않더라도 업데이트에서 자동으로 생략할 수(MAY) 있습니다.

Content-* 접두어가 헤더 필드가 업데이트에서 생략된다는 신호는 아님을 유의하십시오; 이는 MIME 헤더 필드에 대한 관례일 뿐이며 HTTP 고유의 것은 아닙니다.

3.3. 불완전한 응답 저장

요청 메서드가 GET이고 응답 상태 코드가 200 (OK)이며 전체 응답 헤더 섹션을 수신한 경우, 캐시는 응답이 완전하지 않은 상태라도 저장할 수 있습니다(MAY)(자세한 내용은 섹션 6.1 of [HTTP]). 저장된 응답은 불완전한 것으로 기록되어야 합니다. 마찬가지로 206 (Partial Content) 응답은 불완전한 200 (OK) 응답인 것처럼 저장될 수 있습니다. 그러나 캐시는 Range 및 Content-Range 헤더 필드를 지원하지 않거나 해당 필드에서 사용된 범위 단위를 이해하지 못하는 경우 불완전하거나 부분 콘텐츠 응답을 저장해서는 안 됩니다(MUST NOT).

캐시는 이후 범위 요청(섹션 14.2 of [HTTP])을 만들어 저장된 불완전 응답을 완성하고 성공한 응답을 저장된 응답과 결합하여 완성할 수 있습니다(MAY), 이는 섹션 3.4에 정의되어 있습니다. 캐시는 응답을 완성하지 않았거나 요청이 불완전하고 지정된 범위가 저장된 불완전 응답 내에 완전히 포함되지 않는 한 불완전한 응답을 사용하여 요청에 응답해서는 안 됩니다(MUST NOT). 또한 캐시는 클라이언트에 부분 응답을 보낼 때 반드시 206 (Partial Content) 상태 코드를 사용하여 명시적으로 표시해야 합니다(MUST NOT send a partial response to a client without explicitly marking it using the 206 status code).

3.4. 부분 콘텐츠 결합

연결이 조기에 종료되었거나 요청이 하나 이상의 Range 지정자를 사용한 경우(섹션 14.2 of [HTTP]), 응답이 부분 표현만 전송할 수 있습니다. 여러 번의 이러한 전송 후에 캐시는 동일한 표현의 여러 범위를 수신했을 수 있습니다. 캐시는 이러한 범위를 단일 저장된 응답으로 결합하고 이후 요청을 만족시키기 위해 해당 응답을 재사용할 수 있습니다(MAY), 단 그 모두가 동일한 강한 검증자(strong validator)를 공유하고 캐시가 섹션 15.3.7.3 of [HTTP]에 명시된 클라이언트 요구사항을 준수하는 경우에 한합니다.

새 응답을 하나 이상의 저장된 응답과 결합할 때, 캐시는 섹션 3.2에 따라 새 응답에 제공된 헤더 필드를 사용하여 저장된 응답의 헤더 필드를 반드시 업데이트해야 합니다(MUST).

3.5. 인증된 요청에 대한 응답 저장

공유 캐시는 요청에 Authorization 헤더 필드가 포함된 요청에 대한 캐시된 응답을 이후의 어떤 요청을 만족시키는 데 사용할 수 없습니다(MUST NOT), 단 응답에 공유 캐시에 의해 저장되는 것을 명시적으로 허용하는 응답 지시어를 가진 Cache-Control 필드가 포함되어 있고, 캐시가 해당 응답에 대해 그 지시어의 요구사항을 준수하는 경우는 예외입니다.

이 명세서에서 다음 응답 지시어들은 이러한 효과를 가집니다: must-revalidate(섹션 5.2.2.2), public(섹션 5.2.2.9), 및 s-maxage(섹션 5.2.2.10).

4. 캐시에서 응답 구성

요청이 제시되었을 때, 캐시는 다음 조건을 만족하지 않는 한 저장된 응답을 재사용해서는 안 됩니다 MUST NOT:

제시된 대상 URI(섹션 7.1 of [HTTP])와 저장된 응답의 대상이 일치하고,
저장된 응답에 연결된 요청 메서드가 제시된 요청에 대해 사용될 수 있도록 허용하며,
저장된 응답이 지명한 요청 헤더 필드(있는 경우)가 제시된 요청의 필드와 일치하며(자세한 내용은 섹션 4.1 참조),
저장된 응답에 no-cache 지시어(섹션 5.2.2.4)가 포함되어 있지 않거나, 포함되어 있다면 성공적으로 검증된 경우(섹션 4.3),
저장된 응답이 다음 중 하나여야 합니다:
- 신선한 응답(자세한 내용은 섹션 4.2 참조), 또는
- 만료된 상태로 제공되어도 허용되는 응답(자세한 내용은 섹션 4.2.4 참조), 또는
- 성공적으로 검증된 응답(자세한 내용은 섹션 4.3 참조).

캐시 확장이 나열된 요구사항을 재정의할 수 있다는 점에 유의하십시오; 자세한 내용은 섹션 5.2.3를 참조하십시오.

저장된 응답이 검증 없이 요청을 만족시키는 데 사용될 때, 캐시는 응답에 이미 존재하는 값을 대체하여 저장된 응답의 current_age와 동일한 값으로 Age 헤더 필드(섹션 5.1)를 생성해야 합니다(MUST); 연령 계산은 섹션 4.2.3를 참고하십시오.

캐시는 안전하지 않은 메서드(섹션 9.2.1 of [HTTP])를 가진 요청을 원점 서버에 그대로 전달해야 합니다; 즉, 캐시는 해당 요청을 전달하고 대응 응답을 받기 전에 그러한 요청에 대해 응답을 생성할 수 없습니다(MUST).

또한, 안전하지 않은 요청은 이미 저장된 응답을 무효화할 수 있다는 점에 유의하십시오; 자세한 내용은 섹션 4.4를 참조하십시오.

캐시는 저장되었거나 저장 가능한 응답을 여러 요청을 만족시키는 데 사용할 수 있으며, 해당 요청들에 대해 응답을 재사용하는 것이 허용되는 경우에 한합니다. 이는 캐시가 요청 병합(collapse requests)—캐시 미스 시 여러 들어오는 요청을 단일 전달 요청으로 결합—를 수행하여 원점 서버와 네트워크의 부하를 줄일 수 있게 합니다. 다만 캐시가 반환된 응답을 일부 또는 모든 병합된 요청에 사용할 수 없는 경우에는 그 요청들을 만족시키기 위해 요청을 전달해야 하므로 추가 지연이 발생할 수 있습니다.

하나 이상의 적합한 응답이 저장되어 있는 경우, 캐시는 가장 최근의 응답(Date 헤더 필드로 결정)을 사용해야 합니다(MUST). 또한 어떤 응답을 사용할지 명확히 하기 위해 "Cache-Control: max-age=0" 또는 "Cache-Control: no-cache"와 함께 요청을 전달할 수 있습니다.

시계를 갖지 않은 캐시(섹션 5.6.7 of [HTTP])는 저장된 응답을 사용할 때마다 재검증해야 합니다(MUST).

4.1. Vary 헤더 필드로 캐시 키 계산

캐시가 저장된 응답으로 만족시킬 수 있는 요청을 수신했고 그 저장된 응답에 Vary 헤더 필드(섹션 12.5.5 of [HTTP])가 포함된 경우, 캐시는 그 Vary 필드가 지명한 모든 제시된 요청 헤더 필드가 원래 요청(즉, 캐시된 응답을 저장하게 한 요청)의 필드와 일치하지 않으면 재검증 없이 저장된 응답을 사용해서는 안 됩니다(MUST NOT).

두 요청의 헤더 필드가 일치한다고 정의되는 조건은 다음 중 하나를 적용하여 첫 번째 요청의 필드를 두 번째 요청의 필드로 변환할 수 있을 때뿐입니다:

헤더 필드 문법상 허용되는 경우 공백을 추가하거나 제거하는 것
같은 필드 이름을 가진 여러 헤더 필드 라인을 결합하는 것(자세한 내용은 섹션 5.2 of [HTTP] 참조)
헤더 필드의 규격에 따라 의미가 동일한 방식으로 두 헤더 필드 값을 정규화하는 것(예: 순서가 중요하지 않은 경우 값의 재정렬; 값이 대소문자 구분이 아닌 경우의 대소문자 정규화)

(정규화 후) 요청에서 헤더 필드가 없으면, 그 필드는 다른 요청에서도 동일하게 없을 때에만 일치할 수 있습니다.

Vary 헤더 필드 값에 "*"가 포함된 저장된 응답은 항상 일치하지 못합니다.

여러 저장된 응답이 일치하는 경우, 캐시는 하나를 선택해야 합니다. 지명된 요청 헤더 필드에 우선순위를 결정하는 알려진 메커니즘(예: Accept 등의 q값)이 있는 경우, 그 메커니즘을 사용하여 선호되는 응답을 선택할 수 있습니다(MAY). 그러한 메커니즘이 없거나 동등한 우선순위를 주는 응답들이 있는 경우에는 가장 최근의 응답(Date 헤더 필드로 결정)이 선택됩니다(자세한 내용은 섹션 4 참조).

일부 자원은 기본 응답(즉 요청이 선호도를 표현하지 않을 때 전송되는 것)에서 Vary 헤더 필드를 누락하여, 이후 그 자원에 대한 요청에 대해 더 선호되는 응답이 있어도 기본 응답을 선택하게 만드는 실수를 범합니다. 캐시에 대상 URI에 대해 여러 저장된 응답이 있고 그 중 하나 이상이 Vary 헤더 필드를 누락한 경우, 캐시는 유효한 Vary 필드 값을 가진 저장된 응답 중 가장 최근의 것을 선택하는 것이 바람직합니다(SHOULD; 섹션 4.2.3 참조).

저장된 응답과 일치하는 것이 없으면, 캐시는 제시된 요청을 만족시킬 수 없습니다. 일반적으로 요청은 원점 서버로 전달되며, 캐시가 이미 저장한 응답을 설명하기 위해 전제조건이 추가될 수 있습니다(섹션 4.3).

4.2. 신선도

신선한(fresh) 응답은 그 연령이 아직 신선도 수명을 초과하지 않은 응답입니다. 반대로 만료된(stale) 응답은 그 연령이 신선도 수명을 초과한 경우입니다.

응답의 신선도 수명(freshness lifetime)은 원점 서버에서 생성된 시점과 만료 시점 사이의 기간입니다. 명시적 만료 시간(explicit expiration time)은 원점 서버가 저장된 응답을 더 이상의 검증 없이 캐시가 사용하지 못하도록 의도한 시간인 반면, 휴리스틱 만료 시간(heuristic expiration time)은 명시적 만료 시간이 제공되지 않을 때 캐시가 할당하는 시간입니다.

응답의 연령(age)은 응답이 원점 서버에서 생성되었거나 성공적으로 검증된 이후 경과한 시간입니다.

응답이 신선하면 원점 서버에 접촉하지 않고 후속 요청을 만족시키는 데 사용할 수 있어 효율성이 향상됩니다.

신선도를 결정하는 주요 메커니즘은 원점 서버가 Expires 헤더 필드(섹션 5.3) 또는 max-age 응답 지시어(섹션 5.2.2.1)를 사용하여 미래의 명시적 만료 시간을 제공하는 것입니다. 일반적으로 원점 서버는 만료 시간에 도달하기 전에 표현이 의미적으로 크게 변경될 가능성이 낮다고 판단하여 응답에 미래의 명시적 만료 시간을 할당합니다.

원점 서버가 캐시로 하여금 모든 요청을 검증하도록 강제하려는 경우, 명시적 만료 시간을 과거로 설정하여 응답이 이미 만료되었음을 나타낼 수 있습니다. 규격을 준수하는 캐시는 일반적으로 만료된 캐시 응답을 재사용하기 전에 검증합니다(자세한 내용은 섹션 4.2.4 참조).

원점 서버가 항상 명시적 만료 시간을 제공하지 않기 때문에, 캐시는 특정 상황에서 만료 시간을 결정하기 위해 휴리스틱을 사용할 수 있습니다(자세한 내용은 섹션 4.2.2 참조).

응답이 신선한지 여부를 판단하는 계산식은 다음과 같습니다:

   response_is_fresh = (freshness_lifetime > current_age)

freshness_lifetime은 섹션 4.2.1에 정의되어 있고; current_age는 섹션 4.2.3에 정의되어 있습니다.

클라이언트는 해당 응답의 신선도 계산에 대한 제한을 제안하기 위해 max-age 또는 min-fresh 요청 지시어(섹션 5.2.1)를 보낼 수 있습니다. 그러나 캐시는 이를 반드시 준수할 필요는 없습니다.

신선도를 계산할 때 날짜 구문 분석의 일반적인 문제를 피하기 위해:

모든 날짜 형식은 대소문자를 구분하도록 지정되어 있지만, 캐시 수신자는 필드 값을 대소문자 구분 없이 일치시켜야 합니다(SHOULD).
캐시 수신자의 내부 시간 구현이 HTTP-date 값보다 해상도가 낮으면, 수신자는 파싱된 Expires 날짜를 수신된 값보다 같거나 이전인 가장 가까운 시각으로 내부적으로 표현해야 합니다(MUST).
캐시 수신자는 지역 시간대를 연령이나 만료 시간의 계산 또는 비교에 영향을 미치게 해서는 안 됩니다(MUST NOT).
캐시 수신자는 "GMT"가 아닌 구역 약어(zone abbreviation)를 가진 날짜를 만료 계산에 사용할 수 없다고 간주하는 것이 바람직합니다(SHOULD).

신선도는 캐시 동작에만 적용되며, 사용자 에이전트가 표시를 새로고침하거나 리소스를 다시 로드하도록 강제하는 데 사용할 수 없다는 점에 유의하십시오. 캐시와 기록(history) 메커니즘의 차이에 대해서는 섹션 6을 참조하십시오.

4.2.1. 신선도 수명 계산

캐시는 다음 규칙들을 평가하여 응답의 신선도 수명(freshness_lifetime)을 계산할 수 있으며, 첫 번째로 일치하는 규칙을 사용합니다:

캐시가 공유 캐시이고 s-maxage 응답 지시어(섹션 5.2.2.10)가 있으면 그 값을 사용하거나,
max-age 응답 지시어(섹션 5.2.2.1)가 있으면 그 값을 사용하거나,
Expires 응답 헤더 필드(섹션 5.3)가 있으면 그 값에서 Date 응답 헤더 필드의 값을 뺀 값을 사용합니다(만약 Date 필드가 없으면 메시지를 수신한 시간을 사용; 섹션 6.6.1 참조), 또는
그렇지 않으면 응답에 명시적 만료 시간이 없습니다. 이 경우 휴리스틱 신선도 수명이 적용될 수 있습니다; 자세한 내용은 섹션 4.2.2 참조.

이 계산은 가능한 경우 원점 서버가 제공한 시계 정보를 사용하여 시계 차이를 줄이도록 설계되었다는 점을 유의하십시오.

주어진 지시어에 대해 여러 값이 존재하는 경우(예: 두 개의 Expires 헤더 필드 라인 또는 여러 Cache-Control: max-age 지시어), 첫 번째 항목을 사용하거나 응답을 만료된 것으로 간주해야 합니다. 지시어가 상충하는 경우(예: max-age와 no-cache가 모두 있는 경우)에는 가장 제한적인 지시어를 준수해야 합니다. 캐시는 잘못된 신선도 정보를 가진 응답(예: 정수가 아닌 내용을 가진 max-age 지시어)을 만료된 것으로 간주하도록 권장됩니다.

4.2.2. 휴리스틱 신선도 계산

원점 서버가 항상 명시적 만료 시간을 제공하지 않기 때문에, 캐시는 명시적 시간이 지정되지 않은 경우 휴리스틱 만료 시간을 할당할 수 있습니다(MAY). 이때 Last-Modified 시간과 같은 다른 필드 값을 사용하여 그럴듯한 만료 시간을 추정하는 알고리즘을 사용할 수 있습니다. 이 명세서는 특정 알고리즘을 제공하지 않지만, 그 결과에 대한 최악의 경우 제약을 부과합니다.

저장된 응답에 명시적 만료 시간이 존재하는 경우 캐시는 휴리스틱을 사용하여 신선도를 결정해서는 안 됩니다(MUST NOT). 섹션 3의 요구사항 때문에, 휴리스틱은 명시적 신선도가 없는 응답에만 사용할 수 있으며, 그 상태 코드가 휴리스틱으로 캐시 가능(heuristically cacheable)으로 정의된 경우(예: 섹션 15.1 참조)나 명시적으로 캐시 가능하다고 표시된(예: public 응답 지시어) 응답에만 적용할 수 있습니다.

이전 규격에서는 휴리스틱으로 캐시 가능한 응답 상태 코드를 "기본적으로 캐시 가능(cacheable by default)"이라고 불렀음을 유의하십시오.

응답에 Last-Modified 헤더 필드가 있으면(섹션 8.8.2 참조), 캐시는 그 시간 이후의 간격의 일부 비율을 초과하지 않는 휴리스틱 만료 값을 사용하는 것이 권장됩니다. 이 비율의 일반적인 설정 값은 10%일 수 있습니다.

4.2.3. 연령 계산

Age 헤더 필드는 캐시에서 얻은 응답 메시지의 추정 연령을 전달하는 데 사용됩니다. Age 필드 값은 원점 서버가 응답을 생성하거나 검증한 이후 경과한 초 수에 대한 캐시의 추정치입니다. 따라서 Age 값은 원점 서버에서 응답이 시작된 이후 경로상의 각 캐시에 머문 시간의 합과 네트워크 경로를 통한 전송 시간의 합입니다.

연령 계산은 다음 데이터를 사용합니다:

age_value: "age_value"라는 용어는 Age 헤더 필드(섹션 5.1)의 값을 산술 연산에 적합한 형태로 나타내며, 사용 불가능한 경우 0을 의미합니다.
date_value: "date_value"라는 용어는 Date 헤더 필드의 값을 산술 연산에 적합한 형태로 나타냅니다. Date 헤더 필드의 정의 및 그것이 없는 응답에 관한 요구사항은 섹션 6.6.1 of [HTTP]를 참조하십시오.
now: "now"라는 용어는 이 구현의 시계의 현재 값을 의미합니다(섹션 5.6.7 of [HTTP]).
request_time: 저장된 응답을 초래한 요청 시점의 시계 값입니다.
response_time: 응답이 수신된 시점의 시계 값입니다.

응답의 연령은 완전히 독립적인 두 가지 방법으로 계산할 수 있습니다:

"apparent_age": 구현체의 시계가 원점 서버의 시계와 합리적으로 동기화되어 있는 경우, response_time에서 date_value를 뺀 값입니다. 결과가 음수이면 0으로 교체합니다.
응답 경로상의 모든 캐시가 HTTP/1.1 이상을 구현하는 경우의 "corrected_age_value". 캐시는 이 값을 응답이 수신된 시간이 아니라 요청이 시작된 시간 기준으로 해석해야 합니다(MUST).

  apparent_age = max(0, response_time - date_value);

  response_delay = response_time - request_time;
  corrected_age_value = age_value + response_delay;

corrected_age_value는 corrected_initial_age로 사용될 수 있습니다(MAY). 오래된 캐시 구현들 중 일부가 Age를 올바르게 삽입하지 않을 수 있는 경우, corrected_initial_age는 보다 보수적으로 다음과 같이 계산될 수 있습니다:

  corrected_initial_age = max(apparent_age, corrected_age_value);

저장된 응답의 current_age는 원점 서버에 의해 마지막으로 검증된 이후 경과한 시간(초)을 corrected_initial_age에 더하여 계산할 수 있습니다.

  resident_time = now - response_time;
  current_age = corrected_initial_age + resident_time;

4.2.4. 만료된 응답 제공

"만료된(stale)" 응답은 명시적 만료 정보가 있거나 휴리스틱 만료가 계산될 수 있지만 섹션 4.2의 계산에 따라 신선하지 않은 응답입니다.

캐시는 프로토콜 내의 명시적 지시어(예: no-cache 응답 지시어, must-revalidate 응답 지시어, 또는 적용 가능한 s-maxage 또는 proxy-revalidate 응답 지시어; 섹션 5.2.2 참조)에 의해 금지되는 경우 만료된 응답을 생성해서는 안 됩니다(MUST NOT).

캐시는 연결이 끊겼거나 클라이언트 또는 원점 서버가 명시적으로 허용한 경우(예: 섹션 5.2.1의 max-stale 요청 지시어, RFC5861와 같은 확장 지시어, 또는 대역 외 계약에 따른 구성)만 만료된 응답을 생성할 수 있습니다(MUST NOT).

4.3. 검증

캐시가 요청된 URI에 대해 하나 이상의 저장된 응답을 가지고 있으나 그 어떤 것도 제공할 수 없는 경우(예: 신선하지 않거나 선택할 수 없음; 섹션 4.1 참조), 캐시는 전달되는 요청에서 조건부 요청 메커니즘(섹션 13 of [HTTP])을 사용하여 다음 수신 서버가 저장된 응답 중 유효한 것을 선택하여 사용하거나, 저장된 응답의 메타데이터를 갱신하거나, 저장된 응답을 새 응답으로 교체할 기회를 제공할 수 있습니다. 이 과정을 저장된 응답의 검증(validating) 또는 재검증(revalidating)이라고 합니다.

4.3.1. 검증 요청 전송

검증을 위한 조건부 요청을 생성할 때, 캐시는 만족시키려는 요청으로 시작하거나 — 독립적으로 요청을 시작하는 경우 — 저장된 응답을 사용하여 메서드, 대상 URI 및 Vary 헤더 필드(섹션 4.1)에 의해 식별된 요청 헤더 필드를 복사하여 요청을 합성합니다.

그런 다음 캐시는 하나 이상의 전제조건 헤더 필드로 해당 요청을 업데이트합니다. 이러한 필드는 동일한 URI를 가진 저장된 응답으로부터 가져온 검증자 메타데이터를 포함합니다. 일반적으로 이는 동일한 캐시 키를 가진 저장된 응답만 포함하지만, 캐시는 전송하는 요청 헤더 필드로 선택할 수 없는 응답을 검증할 수도 있습니다(자세한 내용은 섹션 4.1 참조).

그 후 수신자는 전제조건 헤더 필드를 비교하여 저장된 어떤 응답이 자원의 현재 표현과 동등한지를 결정합니다.

검증에 사용할 수 있는 검증자 중 하나는 Last-Modified 헤더 필드에 제공된 타임스탬프이며, 이는 응답 검증을 위해 If-Modified-Since 헤더 필드에서 사용되거나, 표현 선택을 위해 If-Unmodified-Since 또는 If-Range에서 사용될 수 있습니다(즉, 클라이언트가 해당 타임스탬프를 가진 이전에 얻은 표현을 구체적으로 참조하는 경우).

또 다른 검증자는 ETag 필드에 주어진 엔터티 태그이며, 하나 이상의 엔터티 태그(저장된 응답을 나타내는)를 If-None-Match 헤더 필드에서 응답 검증을 위해 사용하거나, 표현 선택을 위해 If-Match 또는 If-Range에서 사용할 수 있습니다.

검증을 위한 조건부 요청을 생성할 때, 캐시는 다음을 수행해야 합니다:

MUST 저장된 응답들에 제공된 엔터티 태그가 있다면 관련 엔터티 태그를 전송해야 합니다(If-Match, If-None-Match, 또는 If-Range 사용).
SHOULD 요청이 서브범위(subrange)가 아니고 단일 저장된 응답을 검증하며 그 응답에 Last-Modified 값이 포함되어 있는 경우, If-Modified-Since를 사용하여 Last-Modified 값을 전송해야 합니다.
MAY 요청이 서브범위이고 단일 저장된 응답을 검증하며 그 응답에 엔터티 태그가 없고 Last-Modified 값만 있는 경우에는 If-Unmodified-Since 또는 If-Range를 사용하여 Last-Modified 값을 전송할 수 있습니다.

대부분의 경우, 엔터티 태그가 명백히 우수한 경우에도 오래된 중개자가 엔터티 태그 전제조건을 이해하지 못할 수 있으므로 호환성을 위해 두 검증자 모두가 캐시 검증 요청에서 생성됩니다.

4.3.2. 수신된 검증 요청 처리

요청 체인의 각 클라이언트는 자체 캐시를 가질 수 있으므로, 중개자에 있는 캐시가 다른(외부) 캐시로부터 조건부 요청을 수신하는 것이 일반적입니다. 또한 일부 사용자 에이전트는 최근에 수정된 표현으로의 데이터 전송을 제한하거나 부분적으로 검색된 표현의 전송을 완료하기 위해 조건부 요청을 사용합니다.

캐시가 200 (OK) 또는 206 (Partial Content) 저장된 응답을 재사용하여 만족시킬 수 있는 요청을 수신한 경우(섹션 4 참조), 캐시는 해당 요청에서 수신된 적용 가능한 조건부 헤더 전제조건을 저장된 응답에 포함된 대응 검증자에 대해 평가해야 합니다(SHOULD).

캐시는 오직 원점 서버에만 적용되는 조건부 헤더 필드, 캐시로는 만족할 수 없는 의미를 가진 요청의 전제조건, 또는 저장된 응답이 없는 대상 자원에 포함된 전제조건을 평가해서는 안 됩니다(MUST NOT); 이러한 전제조건은 다른(수신측) 서버를 의도한 것일 가능성이 높습니다.

캐시에 의한 조건부 요청의 적절한 평가는 수신된 전제조건 헤더 필드와 그 우선순위에 달려 있습니다. 요약하면, If-Match 및 If-Unmodified-Since 전제조건은 캐시에 적용되지 않으며, If-None-Match은 If-Modified-Since보다 우선합니다. 전제조건 우선순위의 전체 규격은 섹션 13.2.2 of [HTTP]를 참조하십시오.

If-None-Match 헤더 필드를 포함하는 요청은(If-None-Match), 클라이언트가 자신의 저장된 응답들 중 하나 이상을 캐시가 선택한 저장된 응답과 비교하여 검증하기를 원함을 나타냅니다(자세한 내용은 섹션 4 참조).

If-None-Match 헤더가 없고 If-Modified-Since 헤더를 포함하는 요청은(If-Modified-Since), 클라이언트가 자신의 저장된 응답들을 수정일로 검증하기를 원함을 나타냅니다.

요청에 If-Modified-Since가 포함되어 있고 저장된 응답에 Last-Modified 헤더가 없는 경우, 캐시는 조건 평가를 위해 저장된 응답의 Date 필드 값(또는 Date 필드가 없으면 저장된 응답을 수신한 시간)을 사용하는 것이 바람직합니다(SHOULD).

범위 요청에 대한 부분 응답을 구현하는 캐시는(섹션 14.2 참조) If-Range 헤더 필드(섹션 13.1.5)를 캐시가 선택한 응답에 대해 평가해야 합니다.

If-None-Match 엔터티 태그 목록을 포함하는 요청을 재검증하기 위해 요청을 전달하기로 결정한 캐시는(If-None-Match), 수신된 목록을 자신의 저장된 응답셋(신선하거나 만료된)에서의 엔터티 태그 목록과 결합하여 전달 요청에 If-None-Match 헤더 필드 값으로 두 목록의 합집합을 보낼 수 있습니다(MAY). 저장된 응답이 부분 콘텐츠만 포함하는 경우, 그 저장된 응답이 요청된 범위를 완전히 만족시키는 경우가 아니면 그 엔터티 태그를 합집합에 포함해서는 안 됩니다(MUST NOT). 전달된 요청에 대한 응답이 304 (Not Modified)이고 ETag 필드 값에 클라이언트 목록에 없는 엔터티 태그가 포함되어 있으면, 캐시는 304 응답 메타데이터로 업데이트된 해당 저장된 응답을 재사용하여 클라이언트에게 200 (OK) 응답을 생성해야 합니다(섹션 4.3.4).

4.3.3. 검증 응답 처리

조건부 요청에 대한 응답을 캐시가 처리하는 방식은 그 상태 코드에 따라 다릅니다:

304 (Not Modified) 응답은 저장된 응답을 업데이트하고 재사용할 수 있음을 나타냅니다; 자세한 내용은 섹션 4.3.4 참조.
전체 응답(즉 콘텐츠를 포함하는 응답)은 조건부 요청에서 지명된 저장된 응답들 중 어느 것도 적합하지 않음을 나타냅니다. 이 경우 캐시는 요청을 만족시키기 위해 전체 응답을 사용해야 합니다(MUST). 캐시는 그러한 전체 응답을 저장할 수 있습니다(MAY), 단 저장 제약에 따릅니다(자세한 내용은 섹션 3 참조).
그러나 캐시가 검증을 시도하는 동안 5xx (Server Error) 응답을 받으면, 캐시는 이 응답을 요청 클라이언트로 전달하거나 서버가 응답하지 않은 것처럼 행동할 수 있습니다. 후자의 경우, 캐시는 이전에 저장된 응답을 보낼 수 있으며 이는 만료된 응답 제공에 관한 제약을 따릅니다(섹션 4.2.4), 또는 검증 요청을 재시도할 수 있습니다.

4.3.4. 검증 시 저장된 응답 갱신

캐시가 304 (Not Modified) 응답을 수신하면, 캐시는 새로 제공된 정보로 업데이트하기에 적합한 저장된 응답을 식별한 다음 이를 갱신해야 합니다.

업데이트할 초기 저장 응답 집합은 해당 요청에 대해 선택될 수 있었던 응답들, 즉 섹션 4의 요구사항을 충족하는 응답들로 구성됩니다(단, 마지막으로 요구되는 신선함/만료 가능/검증된 상태 요구사항은 제외).

그런 다음 초기 집합은 다음의 첫 번째 일치 규칙으로 추가로 필터링됩니다:

새 응답이 하나 이상의 강한 검증자(strong validators)를 포함하면, 각 강한 검증자는 갱신할 선택된 표현을 식별합니다. 초기 집합 내의 동일한 강한 검증자 중 하나를 가진 모든 저장된 응답이 갱신 대상으로 식별됩니다. 초기 집합 중 어느 것도 동일한 강한 검증자를 포함하지 않으면 캐시는 새 응답을 사용하여 저장된 응답을 갱신해서는 안 됩니다(MUST NOT).
새 응답에 강한 검증자가 없고 하나 이상의 약한 검증자(weak validators)만 포함되어 있고, 그 검증자들이 초기 집합의 저장된 응답 중 하나에 대응하면, 그 일치하는 저장된 응답들 중 가장 최근의 것이 갱신 대상으로 식별됩니다.
새 응답이 어떤 형태의 검증자도 포함하지 않는 경우(예: 클라이언트가 Last-Modified 응답 헤더 필드가 아닌 다른 출처에서 If-Modified-Since 요청을 생성한 경우)이고, 초기 집합에 저장된 응답이 하나만 있으며 그 저장된 응답도 검증자가 없는 경우에는 그 저장된 응답이 갱신 대상으로 식별됩니다.

식별된 각 저장된 응답에 대해 캐시는 304 (Not Modified) 응답에 제공된 헤더 필드로 저장된 응답의 헤더 필드를 업데이트해야 합니다(MUST); 업데이트 방법은 섹션 3.2를 따릅니다.

4.3.5. HEAD로 응답 갱신

HEAD 메서드에 대한 응답은 동일한 요청을 GET으로 했을 때의 응답과 동일하지만 본문(content)은 전송하지 않습니다. 이 특성은 저장된 GET 응답을 무효화하거나 업데이트하는 데 사용할 수 있으며, 이는 저장된 응답에 검증자가 없어서 조건부 GET 메커니즘을 사용하기 어렵거나, 콘텐츠 전송을 원하지 않을 때 특히 유용합니다.

캐시가 대상 URI에 대해 인바운드 HEAD 요청을 하고 200 (OK) 응답을 받으면, 캐시는 그 요청에 대해 선택되었을 수 있는 각 저장된 GET 응답을 갱신하거나 무효화해야 합니다(SHOULD); 자세한 내용은 섹션 4.1 참조.

선택될 수 있었던 각 저장된 응답에 대해, 저장된 응답과 HEAD 응답이 수신된 검증자 필드(ETag 및 Last-Modified)에 대해 일치하고, HEAD 응답에 Content-Length 헤더 필드가 포함되어 있다면 그 값이 저장된 응답의 값과 일치하는 경우 캐시는 저장된 응답을 아래에 설명된 대로 갱신하는 것이 바람직합니다(SHOULD); 그렇지 않으면 저장된 응답을 만료된 것으로 간주해야 합니다(SHOULD).

캐시가 HEAD 응답에 제공된 메타데이터로 저장된 응답을 업데이트하는 경우, 캐시는 HEAD 응답에 제공된 헤더 필드를 사용하여 저장된 응답을 업데이트해야 합니다(MUST); 방법은 섹션 3.2를 따릅니다.

4.4. 저장된 응답 무효화

PUT, POST, DELETE와 같은 안전하지 않은 요청 메서드(섹션 9.2.1 of [HTTP])는 원점 서버에서 상태를 변경할 가능성이 있으므로, 중간에 개입하는 캐시는 저장된 응답을 최신 상태로 유지하기 위해 무효화해야 합니다(MUST).

캐시는 안전하지 않은 요청 메서드에 대해 비오류 상태 코드를 수신할 때 대상 URI(섹션 7.1 of [HTTP])를 무효화해야 합니다(MUST).

캐시는 안전하지 않은 요청 메서드에 대해 비오류 상태 코드를 수신할 때 다른 URI들을 무효화할 수 있습니다(MAY). 특히, 응답 헤더 필드의 Location 및 Content-Location에 있는 URI(존재하는 경우)는 무효화 대상이 될 수 있습니다. 다른 URI는 이 문서에 명시되지 않은 메커니즘을 통해 발견될 수 있습니다. 그러나 무효화 대상의 원점(섹션 4.3.1 of [HTTP])이 대상 URI의 원점과 다르면, 캐시는 이러한 조건에서 무효화를 트리거해서는 안 됩니다(MUST NOT). 이는 서비스 거부 공격을 방지하는 데 도움이 됩니다.

무효화(Invalidate)는 캐시가 주어진 URI와 대상 URI가 일치하는 모든 저장된 응답을 제거하거나, 이후 요청에 대해 전송되기 전에 반드시 검증해야 하는 "무효화" 상태로 표시함을 의미합니다.

"비오류 응답(non-error response)"은 2xx (Successful) 또는 3xx (Redirection) 상태 코드를 가진 응답입니다.

이것이 모든 적절한 응답이 전역적으로 무효화된다는 것을 보장하지는 않는다는 점에 유의하십시오; 상태 변경 요청은 그것이 통과하는 캐시들에서만 응답을 무효화합니다.

5. 필드 정의

이 절에서는 캐싱과 관련된 HTTP 필드의 구문 및 의미론을 정의합니다.

5.1. Age

"Age" 응답 헤더 필드는 응답이 원본 서버에서 생성되었거나 성공적으로 검증된 이후 경과한 시간에 대한 송신자의 추정치를 전달합니다. Age 값의 계산 방법은 섹션 4.2.3에 규정된 대로입니다.

  Age = delta-seconds

Age 필드 값은 초 단위의 시간을 나타내는 음이 아닌 정수입니다(참조: 섹션 1.2.2).

비록 이 필드가 단일 헤더 필드로 정의되어 있지만, 리스트 기반의 Age 필드 값을 접한 캐시는 첫 번째 멤버를 사용하고 이후 멤버는 버리는 것이 권장됩니다(SHOULD).

위에서 언급한 대로 추가 멤버를 삭제한 후의 필드 값이 유효하지 않은 경우(예: 음이 아닌 정수가 아닌 값이 포함된 경우), 캐시는 해당 필드를 무시하는 것이 권장됩니다(SHOULD).

Age 헤더 필드의 존재는 해당 응답이 이 요청에 대해 원점 서버에서 생성되거나 검증된 것이 아님을 암시합니다. 그러나 Age 헤더 필드가 없다고 해서 원점 서버에 연락한 적이 없음을 의미하지는 않습니다.

5.2. Cache-Control

"Cache-Control" 헤더 필드는 요청/응답 체인에 있는 캐시들을 위한 지시어들을 나열하는 데 사용됩니다. 캐시 지시어는 단방향이며, 요청에 지시어가 존재한다고 해서 동일한 지시어가 응답에 존재하거나 복사된다는 것을 의미하지 않습니다.

섹션 5.2.3에서는 다른 곳에서 정의된 Cache-Control 지시어들이 어떻게 처리되는지에 대한 정보를 제공합니다.

프록시(캐시를 구현하든 하지 않든 관계없이)는 전달되는 메시지에서 캐시 지시어를 그 유효성에 관계없이 전달해야 합니다(MUST), 이는 지시어가 요청/응답 체인상의 모든 수신자에 적용될 수 있기 때문입니다. 특정 캐시에 지시어를 목표로 삼는 것은 불가능합니다.

캐시 지시어는 토큰으로 식별되며 대소문자 구분 없이 비교됩니다. 선택적 인수를 가질 수 있으며 인수는 토큰 또는 인용 문자열(quoted-string) 문법을 사용할 수 있습니다. 아래 정의된 인수를 가지는 지시어의 경우, 수신자는 생성 시 특정 형식이 요구되더라도 두 형식 모두를 수용하는 것이 바람직합니다.

  Cache-Control   = #cache-directive

  cache-directive = token [ "=" ( token / quoted-string ) ]

아래에 정의된 캐시 지시어들에 대해서는, 별도로 명시하지 않는 한 인수가 정의되거나 허용되지 않습니다.

5.2.1. 요청 지시어

이 절에서는 캐시 요청 지시어를 정의합니다. 이들은 권고적이며 캐시는 이를 구현할 수 있으나 필수는 아닙니다(MAY).

5.2.1.1. max-age

인수 문법:

delta-seconds (참조: 섹션 1.2.2)

max-age 요청 지시어는 클라이언트가 지정한 초 수보다 작거나 같은 연령을 가진 응답을 선호함을 나타냅니다. max-stale 요청 지시어가 함께 없는 한, 클라이언트는 만료된 응답을 받고자 하지 않습니다.

이 지시어는 인수에 토큰 형식을 사용합니다: 예: 'max-age=5' ( 'max-age="5"' 아님). 송신자는 인용 문자열 형식을 생성해서는 안 됩니다(MUST NOT).

5.2.1.2. max-stale

인수 문법:

delta-seconds (참조: 섹션 1.2.2)

max-stale 요청 지시어는 클라이언트가 신선도 수명을 초과한 응답을 허용할 것임을 나타냅니다. 값이 존재하면, 클라이언트는 신선도 수명을 지정된 초 수만큼 초과한 응답까지만 허용합니다. 값이 지정되지 않으면, 클라이언트는 나이와 상관없이 만료된 응답을 받아들입니다.

이 지시어는 인수에 토큰 형식을 사용합니다: 예: 'max-stale=10' ( 'max-stale="10"' 아님). 송신자는 인용 문자열 형식을 생성해서는 안 됩니다(MUST NOT).

5.2.1.3. min-fresh

인수 문법:

delta-seconds (참조: 섹션 1.2.2)

min-fresh 요청 지시어는 클라이언트가 현재 연령에 지정된 초를 더한 값보다 적지 않은 신선도 수명을 가진 응답을 선호함을 나타냅니다. 즉, 클라이언트는 앞으로 최소한 지정된 초 동안 신선한 응답을 원합니다.

이 지시어는 인수에 토큰 형식을 사용합니다: 예: 'min-fresh=20' ( 'min-fresh="20"' 아님). 송신자는 인용 문자열 형식을 생성해서는 안 됩니다(MUST NOT).

5.2.1.4. no-cache

no-cache 요청 지시어는 클라이언트가 원점 서버에서 성공적인 검증 없이 저장된 응답이 요청을 만족시키는 데 사용되는 것을 원하지 않음을 나타냅니다.

5.2.1.5. no-store

no-store 요청 지시어는 캐시가 이 요청이나 이에 대한 어떤 응답의 어떤 부분도 저장해서는 안 됨을 나타냅니다(MUST NOT). 이 지시어는 개인 캐시와 공유 캐시 모두에 적용됩니다. 여기서 "저장해서는 안 된다"는 것은 캐시가 정보를 비휘발성 저장소에 의도적으로 저장해서는 안 되며, 전달 후 가능한 한 신속하게 휘발성 저장소에서 해당 정보를 제거하도록 최선을 다해야 함을 의미합니다(MUST).

이 지시어는 프라이버시를 보장하기 위한 신뢰할 수 있거나 충분한 메커니즘이 아닙니다. 특히 악의적이거나 손상된 캐시는 이 지시어를 인식하지 않거나 준수하지 않을 수 있으며, 통신 네트워크는 도청에 취약할 수 있습니다.

이 지시어를 포함한 요청이 캐시에서 만족된 경우, 그 때 이미 저장된 응답에는 no-store 요청 지시어가 적용되지 않는다는 점에 유의하십시오.

5.2.1.6. no-transform

no-transform 요청 지시어는 클라이언트가 중개자들에게 콘텐츠 변환을 피하도록 요청하고 있음을 나타냅니다(정의: 섹션 7.7).

5.2.1.7. only-if-cached

only-if-cached 요청 지시어는 클라이언트가 오직 저장된 응답만을 얻고자 함을 나타냅니다. 이 지시어를 존중하는 캐시는 수신 시 다른 요청 제약과 일치하는 저장된 응답을 반환하거나 504 (Gateway Timeout) 상태 코드를 반환해야 합니다(SHOULD).

5.2.2. 응답 지시어

이 절은 캐시 응답 지시어를 정의합니다. 캐시는 이 절에서 정의한 Cache-Control 지시어를 준수해야 합니다(MUST).

5.2.2.1. max-age

인수 문법:

delta-seconds (참조: 섹션 1.2.2)

max-age 응답 지시어는 응답의 연령이 지정된 초 수를 초과하면 해당 응답을 만료된 것으로 간주하도록 지시합니다.

이 지시어는 인수에 토큰 형식을 사용합니다: 예: 'max-age=5' ( 'max-age="5"' 아님). 송신자는 인용 문자열 형식을 생성해서는 안 됩니다(MUST NOT).

5.2.2.2. must-revalidate

must-revalidate 응답 지시어는 응답이 만료된 경우 캐시가 원점에서 성공적으로 검증될 때까지 그 응답을 다른 요청을 만족시키는 데 재사용해서는 안 됨을 나타냅니다(정의: 섹션 4.3).

must-revalidate 지시어는 특정 프로토콜 기능의 신뢰할 수 있는 동작을 지원하기 위해 필요합니다. 모든 상황에서 캐시는 must-revalidate 지시어를 무시해서는 안 됩니다(MUST NOT); 특히 캐시가 연결이 끊긴 경우 캐시는 만료된 응답을 재사용하는 대신 오류 응답을 생성해야 합니다(MUST). 생성될 상태 코드는 다른 오류 상태 코드가 더 적합하지 않는 한 504 (Gateway Timeout)가 되어야 합니다(SHOULD).

must-revalidate 지시어는 검증 실패가 잘못된 동작을 초래할 수 있는 경우(예: 금융 거래가 조용히 실행되지 않는 경우)에 한해 서버가 사용해야 합니다.

must-revalidate 지시어는 또한 공유 캐시가 Authorization 헤더 필드를 포함한 요청에 대한 응답을 재사용하도록 허용할 수 있지만, 이는 재검증에 관한 위 요구사항의 적용을 받습니다(섹션 3.5 참조).

5.2.2.3. must-understand

must-understand 응답 지시어는 해당 응답의 상태 코드에 대한 요구사항을 이해하고 준수하는 캐시에만 그 응답의 캐싱을 허용하도록 제한합니다.

must-understand 지시어를 포함하는 응답은 no-store 지시어도 포함하는 것이 바람직합니다(SHOULD). must-understand를 구현하는 캐시는 해당 지시어를 포함한 응답을 받을 때, 그 상태 코드의 캐싱 요구사항을 이해하고 구현한다면 no-store 지시어를 무시하는 것이 바람직합니다(SHOULD).

5.2.2.4. no-cache

인수 문법:

#field-name

no-cache 응답 지시어의 무수식 형태(인수 없이)는 해당 응답이 원점 서버로 전달되어 성공적인 검증을 받지 않는 한 다른 요청을 만족시키는 데 사용되어서는 안 됨을 나타냅니다(MUST NOT); 자세한 내용은 섹션 4.3 참조.

이는 원점 서버가 캐시로 하여금 캐시에 저장된 응답을 사용하지 않고 원점 서버에 연락하도록 강제할 수 있게 해줍니다. 구성된 캐시가 만료된 응답을 보내도록 되어 있어도 이를 막을 수 있습니다.

인수가 있는 한정된 형태의 no-cache 지시어는 하나 이상의 필드 이름을 나열하며, 캐시는 나열된 헤더 필드들이 후속 응답에서 제외되었거나 후속 응답이 원점 서버에서 성공적으로 재검증되어 그 필드들이 갱신되거나 제거된 경우에만(다른 캐싱 제약을 준수하면서) 응답을 사용해 후속 요청을 만족시킬 수 있음을 나타냅니다(MAY). 이는 원점 서버가 응답의 특정 헤더 필드의 재사용만을 방지하면서 나머지 응답의 캐싱은 허용할 수 있게 합니다.

지정된 필드 이름은 이 명세서에서 정의한 헤더 필드 집합으로 제한되지 않습니다. 필드 이름은 대소문자 구분이 없습니다.

이 지시어는 인수에 인용 문자열 형식을 사용합니다. 송신자는 토큰 형식을 생성해서는 안 됩니다(SHOULD NOT), 설령 단일 항목 리스트의 경우 인용이 필요 없어 보이더라도.

5.2.2.5. no-store

no-store 응답 지시어는 캐시가 즉시 요청 또는 응답의 어떤 부분도 저장해서는 안 되며, 또한 해당 응답을 다른 요청을 만족시키는 데 사용해서는 안 됨을 나타냅니다(MUST NOT).

이 지시어는 개인 캐시와 공유 캐시 모두에 적용됩니다. 여기서 "저장해서는 안 된다"는 것은 캐시가 정보를 비휘발성 저장소에 의도적으로 저장해서는 안 되며, 전달 후 가능한 한 신속하게 휘발성 저장소에서 해당 정보를 제거하도록 최선을 다해야 함을 의미합니다(MUST).

이 지시어는 프라이버시 보장을 위한 신뢰할 수 있는 충분한 메커니즘이 아닙니다. 특히 악의적이거나 손상된 캐시는 이를 인식하지 않거나 준수하지 않을 수 있으며, 통신 네트워크는 도청에 취약할 수 있습니다.

must-understand 캐시 지시어가 특정 상황에서 no-store를 재정의할 수 있다는 점에 유의하십시오(자세한 내용은 섹션 5.2.2.3 참조).

5.2.2.6. no-transform

no-transform 응답 지시어는 중개자(캐시 구현 여부와 관계없이)가 콘텐츠를 변형해서는 안 됨을 나타냅니다(정의: 섹션 7.7).

5.2.2.7. private

인수 문법:

#field-name

무수식 private 응답 지시어는 공유 캐시가 해당 응답을 저장해서는 안 됨을 나타냅니다(MUST NOT)(즉, 응답은 단일 사용자용입니다). 또한 개인 캐시는 해당 응답을 저장할 수 있음을 나타냅니다(MAY), 단 섹션 3에 정의된 제약을 따릅니다. 이는 해당 응답이 그렇지 않다면 개인 캐시에서 휴리스틱으로 캐시할 수 없었을 경우에도 적용됩니다.

한정된 private 응답 지시어가 있고 인수로 하나 이상의 필드 이름이 나열된 경우, 나열된 헤더 필드만 단일 사용자로 제한됩니다: 공유 캐시는 원래 응답에 해당 필드들이 존재하는 경우 그 필드들을 저장해서는 안 되며(MUST NOT), 나머지 응답 메시지는 해당 헤더 필드 없이 저장할 수 있습니다(MAY), 단 섹션 3의 제약을 따릅니다.

지정된 필드 이름은 이 명세서에서 정의한 헤더 필드 집합으로 제한되지 않습니다. 필드 이름은 대소문자 구분이 없습니다.

5.2.2.8. proxy-revalidate

proxy-revalidate 응답 지시어는 응답이 만료된 경우 공유 캐시가 원점에서 성공적으로 검증될 때까지 그 응답을 다른 요청을 만족시키는 데 재사용해서는 안 됨을 나타냅니다(MUST NOT), 이는 must-revalidate와 유사하지만 proxy-revalidate는 개인 캐시에는 적용되지 않습니다.

proxy-revalidate 자체만으로는 응답이 캐시 가능하다는 것을 의미하지 않습니다. 예를 들어 public 지시어와 결합되어 응답을 캐시 가능하게 하면서 공유 캐시만 만료 시 재검증하도록 요구할 수 있습니다.

5.2.2.9. public

public 응답 지시어는 캐시가 해당 응답을 저장할 수 있도록 허용함을 나타냅니다(MAY), 단 섹션 3에 정의된 제약을 따릅니다. 즉, public은 응답을 명시적으로 캐시 가능하다고 표시합니다. 예를 들어 public은 Authorization 헤더 필드를 포함한 요청에 대한 응답을 공유 캐시가 재사용할 수 있도록 허용합니다(섹션 3.5).

이미 섹션 3에 따라 캐시 가능한 응답에는 public 지시어를 추가할 필요가 없습니다.

public 지시어가 있는 응답이 명시적 신선도 정보를 가지지 않으면 그 응답은 휴리스틱으로 캐시 가능하게 됩니다(섹션 4.2.2).

5.2.2.10. s-maxage

인수 문법:

delta-seconds (참조: 섹션 1.2.2)

s-maxage 응답 지시어는 공유 캐시에 대해 이 지시어로 지정된 최대 연령이 max-age 지시어나 Expires 헤더 필드에 의해 지정된 최대 연령을 무시하도록 지시합니다.

s-maxage 지시어는 공유 캐시에 대해 proxy-revalidate 응답 지시어(섹션 5.2.2.8)의 의미를 포함합니다. 공유 캐시는 s-maxage가 있는 만료된 응답을 원점에서 성공적으로 검증할 때까지 다른 요청을 만족시키는 데 재사용해서는 안 됩니다(MUST NOT)(정의: 섹션 4.3). 이 지시어는 또한 공유 캐시가 Authorization 헤더 필드를 포함하는 요청에 대해 응답을 재사용하도록 허용하되, 최대 연령 및 재검증에 관한 위 요구사항의 적용을 받습니다(섹션 3.5).

이 지시어는 인수에 토큰 형식을 사용합니다: 예: 's-maxage=10' ( 's-maxage="10"' 아님). 송신자는 인용 문자열 형식을 생성해서는 안 됩니다(MUST NOT).

5.2.3. 확장 지시어

Cache-Control 헤더 필드는 하나 이상의 확장 캐시 지시어를 사용하여 확장될 수 있습니다. 캐시는 인식하지 못하는 캐시 지시어를 무시해야 합니다(MUST).

정보성 확장(캐시 동작의 변경을 요구하지 않는 것)은 다른 지시어의 의미를 변경하지 않고 추가될 수 있습니다.

동작적 확장은 기존 캐시 지시어의 수정을 통해 동작하도록 설계됩니다. 새로운 지시어와 기존 지시어가 함께 제공되어, 새로운 지시어를 이해하지 못하는 애플리케이션은 기존 지시어에 명시된 동작을 기본으로 하고, 새로운 지시어를 이해하는 애플리케이션은 그것이 기존 지시어의 요구사항을 수정한다고 인식하도록 합니다. 이렇게 하면 배포된 캐시를 깨뜨리지 않으면서 기존 캐시 지시어에 확장을 추가할 수 있습니다.

예를 들어, hypothetical한 새로운 응답 지시어 "community"가 private 지시어를 수정하도록 동작한다고 가정해 보십시오: private 캐시 외에도 명명된 커뮤니티 구성원들이 공유하는 캐시만 응답을 캐시할 수 있게 하는 것입니다. 원점 서버가 특정 커뮤니티가 그렇지 않으면 private인 응답을 자신의 공유 캐시에 허용하려면 다음과 같이 포함할 수 있습니다

Cache-Control: private, community="UCI"

community 캐시 지시어를 인식하는 캐시는 해당 확장에 따라 동작을 확장할 수 있습니다. 인식하지 못하는 캐시는 이를 무시하고 private 지시어를 따릅니다.

새 확장 지시어는 다음 사항들을 정의하는 것을 고려해야 합니다:

지시어가 여러 번 지정되었을 때 그것이 의미하는 바,
지시어가 인수를 취하지 않을 때 인수가 존재하면 그것이 의미하는 바,
지시어가 인수를 요구할 때 인수가 없으면 그것이 의미하는 바, 및
지시어가 요청 전용인지 응답 전용인지 또는 어느 쪽에도 사용할 수 있는지 여부.

5.2.4. 캐시 지시어 레지스트리

"Hypertext Transfer Protocol (HTTP) Cache Directive Registry"는 캐시 지시어의 네임스페이스를 정의합니다. 해당 레지스트리는 다음에서 생성되어 현재 유지 관리되고 있습니다: https://www.iana.org/assignments/http-cache-directives.

등록에는 다음 필드들이 포함되어야 합니다(MUST):

Cache Directive Name
Pointer to specification text

이 네임스페이스에 추가할 값은 IETF 검토가 필요합니다(참조: [RFC8126], 섹션 4.8).

5.3. Expires

"Expires" 응답 헤더 필드는 응답이 만료된 것으로 간주되는 이후의 날짜/시간을 제공합니다. 신선도 모델에 대한 추가 논의는 섹션 4.2를 참조하십시오.

Expires 헤더 필드의 존재는 원래 자원이 해당 시점에 변경되거나 존재하지 않게 될 것임을 암시하지 않습니다.

Expires 필드 값은 HTTP-date 타임스탬프입니다(정의: 섹션 5.6.7). 캐시에 특화된 구문 분석 요구사항은 또한 섹션 4.2를 참조하십시오.

  Expires = HTTP-date

예:

Expires: Thu, 01 Dec 1994 16:00:00 GMT

캐시 수신자는 특히 값 "0"을 포함한 잘못된 날짜 형식을 과거의 시간(즉, 이미 만료된 것으로)으로 해석해야 합니다(MUST).

응답에 Cache-Control 헤더 필드가 있고 그 안에 max-age 지시어(섹션 5.2.2.1)가 포함되어 있으면, 수신자는 Expires 헤더 필드를 무시해야 합니다(MUST). 마찬가지로 응답에 s-maxage 지시어(섹션 5.2.2.10)가 포함되어 있으면, 공유 캐시 수신자는 Expires 헤더 필드를 무시해야 합니다(MUST). 이 두 경우 모두 Expires의 값은 Cache-Control 헤더 필드를 아직 구현하지 않은 수신자를 위한 것입니다.

시계가 없는 원점 서버는(정의: 섹션 5.6.7) Expires 헤더 필드를 생성해서는 안 됩니다(MUST NOT), 단 그 값이 과거의 고정 시간(항상 만료됨)을 나타내거나 그 값이 시계를 가진 시스템에 의해 자원과 연관되었을 때는 예외입니다.

역사적으로 HTTP는 Expires 필드 값이 미래로 최대 1년을 초과하지 않도록 요구했습니다. 더 긴 신선도 수명이 더 이상 금지되지는 않지만, 매우 큰 값은 문제(예: 시간 값에 대해 32비트 정수를 사용하는 경우 시계 오버플로)를 일으키는 것으로 입증되었고, 많은 캐시는 훨씬 더 빨리 응답을 축출할 것입니다.

5.4. Pragma

"Pragma" 요청 헤더 필드는 HTTP/1.0 캐시를 위해 정의되었으며, 당시에는 Cache-Control이 HTTP/1.1까지 정의되지 않았으므로 클라이언트가 "no-cache" 요청을 지정할 수 있게 했습니다.

그러나 현재는 Cache-Control의 지원이 널리 퍼져 있습니다. 결과적으로 이 명세서는 Pragma를 사용 중단(deprecate)합니다.

5.5. Warning

"Warning" 헤더 필드는 상태 코드에 반영되지 않을 수 있는 메시지의 상태 또는 변형에 대한 추가 정보를 전달하는 데 사용되었습니다. 이 명세서는 Warning을 널리 생성되거나 사용자에게 노출되지 않으므로 폐지합니다. Warning이 전달하던 정보는 Age와 같은 다른 헤더 필드를 검사함으로써 얻을 수 있습니다.

6. 애플리케이션 및 다른 캐시와의 관계

HTTP를 사용하는 애플리케이션은 종종 추가적인 형태의 캐싱을 명시합니다. 예를 들어, 웹 브라우저는 세션 중 이전에 가져온 표현을 다시 표시하는 데 사용할 수 있는 "뒤로" 버튼과 같은 히스토리 메커니즘을 제공하는 경우가 많습니다.

마찬가지로 일부 웹 브라우저는 페이지 뷰 내에서 이미지 및 기타 자산을 캐시하도록 구현하는데, 이들은 HTTP 캐싱 의미론을 준수할 수도 있고 그렇지 않을 수도 있습니다.

이 명세서의 요구사항은 반드시 애플리케이션이 HTTP 캐시에서 가져온 데이터를 이후에 어떻게 사용하는지에 적용되는 것은 아닙니다. 예를 들어, 히스토리 메커니즘은 만료된 이전 표현을 표시할 수 있고, 애플리케이션은 신선도 수명이 지난 캐시된 데이터를 다른 방식으로 사용할 수 있습니다.

이 명세서는 애플리케이션이 HTTP 캐싱을 고려하는 것을 금지하지 않습니다. 예를 들어 히스토리 메커니즘은 보기(View)가 오래되었음을 사용자에게 알리거나 캐시 지시어(e.g., Cache-Control: no-store)를 존중할 수 있습니다.

그러나 애플리케이션이 데이터를 캐시하고 이를 사용자에게 명확히 알리거나 사용자가 쉽게 제어할 수 없게 만들 경우, 캐싱 의미론이 존중될 것이라고 기대하는 작성자들을 놀라게 하지 않도록 HTTP 캐시 지시어와 관련하여 그 동작을 정의하는 것이 강력히 권장됩니다. 예를 들어, Cache-Control: no-store를 포함한 응답을 동일한 페이지 로드 중에 생성된 요청과 같이 그 응답을 가져온 요청과 직접 관련된 요청에 한해 재사용하도록 허용하는 "HTTP 위의" 애플리케이션 캐시를 정의하는 것은 합리적일 수 있지만, 전혀 관련이 없는 다른 요청에 대해 재사용을 허용한다면 사용자와 작성자에게 놀랍고 혼란스러울 것입니다.

7. 보안 고려사항

이 절은 개발자, 정보 제공자 및 사용자에게 HTTP 캐싱과 관련된 알려진 보안 문제를 알리기 위한 것입니다. 보다 일반적인 보안 고려사항은 "HTTP/1.1"(Section 11 of [HTTP/1.1]) 및 "HTTP Semantics"(Section 17 of [HTTP])에서 다룹니다.

캐시는 캐시의 내용이 악의적인 착취에 매력적인 표적이 되기 때문에 추가적인 공격 표면을 노출합니다. 캐시 내용은 HTTP 요청이 완료된 후에도 지속되므로, 캐시에 대한 공격은 사용자가 해당 정보가 네트워크에서 제거되었다고 생각한 이후에도 정보를 드러낼 수 있습니다. 따라서 캐시 내용은 민감한 정보로서 보호되어야 합니다.

특히 개인 캐시는 단일 사용자로 제한되므로 사용자의 활동을 재구성하는 데 사용될 수 있습니다. 결과적으로 사용자 에이전트는 사용자가 이를 제어할 수 있도록(예: 일부 또는 모든 오리진 서버에 대해 저장된 응답을 제거할 수 있도록) 허용하는 것이 중요합니다.

7.1. 캐시 중독

캐시에 악의적인 콘텐츠를 저장하면 공격자가 여러 사용자에게 영향을 미치도록 범위를 확장할 수 있습니다. 이러한 "캐시 중독" 공격은 공격자가 구현 결함, 권한 상승 또는 다른 기법을 사용하여 응답을 캐시에 삽입할 때 발생합니다. 공유 캐시가 많은 클라이언트에게 악의적 콘텐츠를 배포하는 데 사용될 때 특히 효과적입니다.

캐시 중독의 일반적인 공격 벡터 중 하나는 프록시와 사용자 에이전트에서의 메시지 구문 분석 차이를 악용하는 것입니다; 관련 요구사항은 HTTP/1.1에 관한 Section 6.3를 참조하십시오.

7.2. 타이밍 공격

캐시의 주요 사용 목적 중 하나가 성능 최적화이기 때문에, 캐시 사용은 이전에 어떤 리소스가 요청되었는지에 대한 정보를 "유출"시킬 수 있습니다.

예를 들어, 사용자가 어떤 사이트를 방문하여 브라우저가 그 응답들을 캐시하고 나서 두 번째 사이트로 이동한 경우, 그 두 번째 사이트는 첫 번째 사이트에 존재하는 것을 알면서 응답을 로드하려 시도할 수 있습니다. 응답이 빠르게 로드되면 사용자가 해당 사이트 또는 특정 페이지를 방문한 것으로 추정할 수 있습니다.

이러한 "타이밍 공격"은 캐시 키에 참조 사이트의 정체성과 같은 추가 정보를 추가하여 완화할 수 있습니다(위에서 설명한 공격을 방지하기 위해). 이를 때때로 "이중 키화(double keying)"라고 합니다.

7.3. 민감한 정보의 캐싱

구현 및 배포상의 결함(종종 캐시 동작의 오해에서 비롯됨)은 민감한 정보(예: 인증 자격 증명)의 캐싱으로 이어질 수 있으며, 이는 원래 비공개로 간주되던 정보를 무단 당사자에게 노출시킬 수 있습니다.

Set-Cookie 응답 헤더 필드([COOKIE])가 캐싱을 차단하지 않는다는 점에 유의하십시오; Set-Cookie를 가진 캐시 가능 응답은 이후의 요청을 만족시키는 데 사용될 수 있습니다. 이러한 응답의 캐싱을 제어하려는 서버는 적절한 Cache-Control 응답 헤더 필드를 내보내는 것이 권장됩니다.

8. IANA 고려사항

다음 등록에 대한 변경 관리자는 "IETF (iesg@ietf.org) - Internet Engineering Task Force"입니다.

8.1. 필드 이름 등록

IANA는 "Hypertext Transfer Protocol (HTTP) Field Name Registry"를 업데이트했으며, 이는 Section 18.4 of [HTTP]에 설명된 대로이며, 아래 표에 나열된 필드 이름들을 포함합니다:

Table 1
필드 이름	상태	섹션
Age	permanent	5.1
Cache-Control	permanent	5.2
Expires	permanent	5.3
Pragma	deprecated	5.4
Warning	obsoleted	5.5

8.2. 캐시 지시어 등록

IANA는 "Hypertext Transfer Protocol (HTTP) Cache Directive Registry"를 업데이트했으며, 이는 섹션 5.2.4에 따른 등록 절차와 아래 표에 요약된 캐시 지시어 이름들을 포함합니다.

Table 2
캐시 지시어	섹션
max-age	5.2.1.1, 5.2.2.1
max-stale	5.2.1.2
min-fresh	5.2.1.3
must-revalidate	5.2.2.2
must-understand	5.2.2.3
no-cache	5.2.1.4, 5.2.2.4
no-store	5.2.1.5, 5.2.2.5
no-transform	5.2.1.6, 5.2.2.6
only-if-cached	5.2.1.7
private	5.2.2.7
proxy-revalidate	5.2.2.8
public	5.2.2.9
s-maxage	5.2.2.10

8.3. Warn 코드 레지스트리

IANA는 "Hypertext Transfer Protocol (HTTP) Warn Codes" 레지스트리에 다음 주석을 추가했으며, Warning이 폐지되었다고 명시했습니다:

The Warning header field (and the warn codes that it uses) has been obsoleted for HTTP per [RFC9111].

9. 참고문헌

9.1. 규범적 참고문헌

[HTTP]: Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke, Ed., “HTTP Semantics”, STD 97, RFC 9110, DOI 10.17487/RFC9110, June 2022.
[RFC2119]: Bradner, S., “Key words for use in RFCs to Indicate Requirement Levels”, BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC5234]: Crocker, D., Ed. and P. Overell, “Augmented BNF for Syntax Specifications: ABNF”, STD 68, RFC 5234, DOI 10.17487/RFC5234, January 2008, <https://www.rfc-editor.org/info/rfc5234>.
[RFC7405]: Kyzivat, P., “Case-Sensitive String Support in ABNF”, RFC 7405, DOI 10.17487/RFC7405, December 2014, <https://www.rfc-editor.org/info/rfc7405>.
[RFC8174]: Leiba, B., “Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words”, BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.

9.2. 정보성 참고문헌

[COOKIE]: Barth, A., “HTTP State Management Mechanism”, RFC 6265, DOI 10.17487/RFC6265, April 2011, <https://www.rfc-editor.org/info/rfc6265>.
[HTTP/1.1]: Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke, Ed., “HTTP/1.1”, STD 99, RFC 9112, DOI 10.17487/RFC9112, June 2022.
[RFC2616]: Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., and T. Berners-Lee, “Hypertext Transfer Protocol -- HTTP/1.1”, RFC 2616, DOI 10.17487/RFC2616, June 1999, <https://www.rfc-editor.org/info/rfc2616>.
[RFC5861]: Nottingham, M., “HTTP Cache-Control Extensions for Stale Content”, RFC 5861, DOI 10.17487/RFC5861, May 2010, <https://www.rfc-editor.org/info/rfc5861>.
[RFC7234]: Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke, Ed., “Hypertext Transfer Protocol (HTTP/1.1): Caching”, RFC 7234, DOI 10.17487/RFC7234, June 2014, <https://www.rfc-editor.org/info/rfc7234>.
[RFC8126]: Cotton, M., Leiba, B., and T. Narten, “Guidelines for Writing an IANA Considerations Section in RFCs”, BCP 26, RFC 8126, DOI 10.17487/RFC8126, June 2017, <https://www.rfc-editor.org/info/rfc8126>.

부록 A. 수집된 ABNF

아래에 수집된 ABNF에서, 목록 규칙은 Section 5.6.1 of HTTP에 따라 확장되어 있습니다.

Age = delta-seconds

Cache-Control = [ cache-directive *( OWS "," OWS cache-directive ) ]

Expires = HTTP-date

HTTP-date = <HTTP-date, see [HTTP], Section 5.6.7>

OWS = <OWS, see [HTTP], Section 5.6.3>

cache-directive = token [ "=" ( token / quoted-string ) ]

delta-seconds = 1*DIGIT

field-name = <field-name, see [HTTP], Section 5.1>

quoted-string = <quoted-string, see [HTTP], Section 5.6.4>

token = <token, see [HTTP], Section 5.6.2>

부록 B. RFC 7234로부터의 변경 사항

중복되거나 상충하는 캐시 지시어의 처리 방식이 명확해졌습니다. (Section 4.2.1)

Location 및 Content-Location 헤더 필드에 있는 URI들의 캐시 무효화는 더 이상 필수는 아니지만 여전히 허용됩니다. (Section 4.4)

Location 및 Content-Location 헤더 필드에 있는 URI들의 캐시 무효화는 원점(origin)이 다른 경우 허용되지 않습니다; 이전에는 호스트(host) 기반이었습니다. (Section 4.4)

잘못되었거나 여러 개의 Age 헤더 필드 값 처리 방식이 명확해졌습니다. (Section 5.1)

이 명세서에서 정의한 일부 캐시 지시어는 값의 인용형(quoted form)을 생성하는 것에 대해 더 강한 금지를 갖게 되었는데, 이는 상호운용성 문제를 일으키는 것으로 밝혀졌기 때문입니다. 확장 캐시 지시어의 소비자는 더 이상 토큰과 인용 문자열 형식의 둘 다를 수용해야 할 필요는 없지만, 알려지지 않은 확장의 경우에도 적절히 구문 분석할 필요는 여전히 있습니다. (Section 5.2)

public 및 private 캐시 지시어가 명확해져서, 이들이 어떤 조건에서도 응답을 재사용 가능하게 만들지 않음을 분명히 했습니다. (Section 5.2.2)

must-understand 캐시 지시어가 도입되었습니다; 이 지시어가 없으면 캐시는 새 응답 상태 코드의 의미를 이해해야 할 의무가 더 이상 없습니다. (Section 5.2.2.3)

Warning 응답 헤더가 폐지되었습니다. Warning이 지원하던 정보의 대부분은 응답을 검사함으로써 얻을 수 있고, 남은 정보는 전적으로 고지적(advisory)이었으며 실제로 캐시나 중개자에 의해 널리 추가되지 않았습니다. (Section 5.5)

감사의 글

Appendix "Acknowledgements" of HTTP를 참조하십시오. 해당 내용은 이 문서에도 적용됩니다.

색인

A
- age 4.2
- Age header field 4, 4.2.3, 5.1, 8.1, B
C
- cache 1
- cache key 2, 2
- Cache-Control header field 5.2, 8.1, B
- collapsed requests 4
- COOKIE 7.3, 9.2
E
- Expires header field 3, 4.2, 4.2.1, 5.3, 8.1
- explicit expiration time 4.2
F
- Fields
  - Age 4, 4.2.3, 5.1, 8.1, B
  - Cache-Control 5.2, 8.1, B
  - Expires 3, 4.2, 4.2.1, 5.3, 8.1
  - Pragma 5.4, 8.1
  - Warning 5.5, 8.1, B
- fresh 4.2
- freshness lifetime 4.2
G
- Grammar
  - Age 5.1
  - Cache-Control 5.2
  - cache-directive 5.2
  - delta-seconds 1.2.2
  - DIGIT 1.2
  - Expires 5.3
H
- Header Fields
  - Age 4, 4.2.3, 5.1, 8.1, B
  - Cache-Control 5.2, 8.1, B
  - Expires 3, 4.2, 4.2.1, 5.3, 8.1
  - Pragma 5.4, 8.1
  - Warning 5.5, 8.1, B
- heuristic expiration time 4.2
- heuristically cacheable 4.2.2
- HTTP 1, 1.1, 1.2, 1.2.1, 1.2.1, 1.2.1, 1.2.1, 1.2.1, 1.2.1, 2, 2, 3, 3, 3.1, 3.1, 3.1, 3.1, 3.1, 3.3, 3.3, 3.4, 3.4, 3.5, 4, 4, 4, 4.1, 4.1, 4.2.1, 4.2.2, 4.2.2, 4.2.3, 4.2.3, 4.3, 4.3.1, 4.3.1, 4.3.2, 4.3.2, 4.3.2, 4.3.2, 4.3.2, 4.3.4, 4.4, 4.4, 4.4, 4.4, 5.2.1.6, 5.2.2.2, 5.2.2.6, 5.3, 5.3, 7, 8.1, 9.1, A, A, A, A, A, A, "Acknowledgements"
  - Section 5.1 A
  - Section 5.6.2 A
  - Section 5.6.3 A
  - Section 5.6.4 A
  - Section 5.6.7 A
  - Section 2 1.1
  - Section 3 2
  - Section 3.7 1
  - Section 4.3.1 4.4
  - Section 5.1 1.2.1
  - Section 5.2 4.1
  - Section 5.6.1 1.2, A
  - Section 5.6.2 1.2.1
  - Section 5.6.3 1.2.1
  - Section 5.6.4 1.2.1
  - Section 5.6.7 1.2.1, 4, 4.2.3, 5.3, 5.3
  - Section 6.1 3.3
  - Section 6.6.1 4.2.1, 4.2.3
  - Section 7.1 4, 4.4, 4.4
  - Section 7.6.1 3.1, 3.1
  - Section 7.7 5.2.1.6, 5.2.2.6
  - Section 8.8.1 4.3.4
  - Section 8.8.2 4.2.2, 4.3.1
  - Section 8.8.3 4.3.1
  - Section 9.2.1 4, 4.4
  - Section 9.3.1 2
  - Section 11.6.2 3, 3.5, 5.2.2.2
  - Section 11.7.1 3.1
  - Section 11.7.2 3.1
  - Section 11.7.3 3.1
  - Section 12.5.5 4.1
  - Section 13 4.3
  - Section 13.1.2 4.3.2
  - Section 13.1.3 4.3.2
  - Section 13.1.5 4.3.2
  - Section 13.2.2 4.3.2
  - Section 14.2 3.3, 3.4, 4.3.2
  - Section 15 3
  - Section 15.1 4.2.2
  - Section 15.3.7.3 3.4
  - Section 17 7
  - Section 18.4 8.1
  - Acknowledgements "Acknowledgements"
- HTTP/1.1 7, 7.1, 9.2
  - Section 6.3 7.1
  - Section 11 7
M
- max-age (cache directive) 5.2.1.1, 5.2.2.1
- max-stale (cache directive) 5.2.1.2
- min-fresh (cache directive) 5.2.1.3
- must-revalidate (cache directive) 5.2.2.2
- must-understand (cache directive) 5.2.2.3
N
- no-cache (cache directive) 5.2.1.4, 5.2.2.4
- no-store (cache directive) 5.2.1.5, 5.2.2.5
- no-transform (cache directive) 5.2.1.6, 5.2.2.6
O
- only-if-cached (cache directive) 5.2.1.7
P
- Pragma header field 5.4, 8.1
- private (cache directive) 5.2.2.7
- private cache 1
- proxy-revalidate (cache directive) 5.2.2.8
- public (cache directive) 5.2.2.9
R
- RFC2119 1.1, 9.1
- RFC2616 4.2.2, 9.2
  - Section 13.9 4.2.2
- RFC5234 1.2, 1.2.1, 9.1
  - Appendix B.1 1.2.1
- RFC5861 4.2.4, 9.2
- RFC7234 1, 9.2
- RFC7405 1.2, 9.1
- RFC8126 5.2.4, 9.2
  - Section 4.8 5.2.4
- RFC8174 1.1, 9.1
S
- s-maxage (cache directive) 5.2.2.10
- shared cache 1
- stale 4.2
V
- validator 4.3.1
W
- Warning header field 5.5, 8.1, B

저자 연락처

Roy T. Fielding (editor)
Adobe
345 Park Ave
San Jose, CA 95110
United States of America
Email: fielding@gbiv.com
URI: https://roy.gbiv.com/

Mark Nottingham (editor)
Fastly
Prahran
Australia
Email: mnot@mnot.net
URI: https://www.mnot.net/

Julian Reschke (editor)
greenbytes GmbH
Hafenweg 16
48155 Münster
Germany
Email: julian.reschke@greenbytes.de
URI: https://greenbytes.de/tech/webdav/