[톰캣/AJP] X-Requested-With 헤더 상이한 현상

1. 개요

1. X-Requested-With 값과 Ajax 호출 여부 판단
   • "X-Requested-With" 헤더는 보편적으로 Ajax 요청인지 여부를 판단하기 위해 사용됩니다. 이 헤더의 값이 "XMLHttpRequest"인 경우, 서버는 해당 요청이 Ajax를 통해 전송되었음을 알 수 있습니다.
   • 그러나 Native Tomcat HTTP 환경과 AJP 프로토콜을 사용하는 Apache Web Server와 Apache Tomcat의 연동을 통해 동적 및 정적 리소스를 분리하는 환경에서는 이 헤더의 처리 방식에서 이상 현상이 발생할 수 있습니다. 예를 들어, AJP 프로토콜을 사용하는 환경에서는 "X-Requested-With" 헤더 값이 예상과 다르게 처리될 수 있습니다.
2. 헤더 값 비교의 일관성
   • "X-Requested-With" 헤더 값을 비교할 때 대소문자 일관성을 유지하는 것이 중요합니다. 헤더 값 비교 시, 대소문자를 구분하지 않고 처리하는 것이 일반적이지만, 일부 환경에서는 이 점이 문제가 될 수 있습니다.
   • 또한, "X-Requested-With" 헤더의 사용 목적과 그 작동 방식을 정확히 이해하고 사용하는 것이 중요합니다. 이해 없이 단순히 사용하는 것과는 큰 차이가 있습니다. 상황을 명확히 이해한 후 사용하는 것이 바람직합니다.

2. 내용

1. 상황 설명 및 문제 발생 배경
   • Apache Web Server와 Apache Tomcat을 AJP 프로토콜로 연결하여 동적 및 정적 리소스를 처리하는 경우, "X-Requested-With" 헤더 값이 서버 간의 처리 방식에 따라 상이하게 해석될 수 있습니다. 이로 인해 클라이언트 측에서 예상치 못한 응답이 발생하거나, 서버 측에서 Ajax 요청으로 인식되지 않는 문제가 생길 수 있습니다.
2. 조치 방안
   • 헤더 값 처리 일관성 유지: "X-Requested-With" 헤더를 비교할 때 대소문자를 무시하고 일관되게 처리하도록 코드를 수정합니다. 예를 들어, 모든 헤더 값을 소문자로 변환하여 비교하는 방식이 있습니다.
   • 환경에 따른 헤더 처리 이해: 각 서버 환경(Tomcat HTTP, AJP, Apache Web Server 등)에서 "X-Requested-With" 헤더가 어떻게 처리되는지를 명확히 이해하고, 그에 맞는 적절한 코드를 작성합니다.
   • 로깅 및 모니터링 강화: "X-Requested-With" 헤더와 관련된 요청들을 로깅하여 문제가 발생하는 시점과 조건을 분석합니다. 이를 통해 문제를 조기에 발견하고, 필요시 적절한 조치를 취할 수 있습니다.
3. 결론
   • "X-Requested-With" 헤더를 사용하여 Ajax 요청을 판단하는 것은 매우 일반적인 방법이지만, 다양한 서버 환경에서의 동작을 정확히 이해하고 사용하는 것이 중요합니다. 특히, Apache와 Tomcat 간의 AJP 연동과 같은 복잡한 환경에서는 헤더 처리에 대한 이해가 필요하며, 이를 통해 잠재적인 문제를 사전에 방지할 수 있습니다.

# Tomcat Native 
x-requested-with

# Apache ↔ Apache Tomcat AJP 프로토콜
X-Requested-With

 

 * 헤더가 다르므로, 2번 검증 또는 변경 검증이 필요 하다.

HttpServletRequest request = requestUtils.getHttpServletRequest();

if (StringUtils.equalsIgnoreCase("XMLHttpRequest", request.getHeader("X-Requested-With"))) {
	return true;
}else if (StringUtils.equalsIgnoreCase("XMLHttpRequest", request.getHeader("x-requested-with"))) {
	return true;
} else {
	return false;
}