RFC7231

HTTP/1.1のセマンティクスを定義するRFC7231では、PUTリクエストについて下記の通り書いています (URL)

Content-Rangeヘッダーフィールドを含むPUTリクエストに対して400（Bad Request）レスポンスを送信する必要があります

つまり、仕様上は利用が許可されていません。

利用例

しかし、IETF HTTP WG のメーリングリスト(URL)では、下記のようなサービスで、Content-RangeヘッダーのついたPUTリクエストがサポートされていることが報告されています。

• Amazon S3 Glacier
• Google Drive
• Google Cloud Storage

Youtubeでも「再開可能アップロード」としてこの方法を利用しています。
developers.google.com

これをうけ、HTTPの仕様改定にともないこのPUTリクエストについて仕様上どう扱うか議論になりました。

この、HTTPセマンティクスの改訂版仕様について触れていきます。

HTTPセマンティクス仕様の改訂版

HTTP/1.1とセマンティクスの仕様であるRFC7230 〜 RFC7235は、現在改定作業中です。

これは、HTTP/1.1のフォーマット仕様と、HTTPセマンティクスを分離するための作業です。これによってHTTP/2(http2bis)やHTTP/3(draft-ietf-quic-http)の仕様からセマンティクスのみ参照することができます。また、その他にも細かい仕様バグが修正されています。まだ、RFCとはなっていませんが、下記から参照することができます。

• HTTP Semantics
• HTTP Caching
• HTTP/1.1

先日、この新しいHTTPセマンティクス仕様で、Content-Rangeヘッダのついた PUTリクエストの制限を緩和する変更が入りました。
github.com

新しい仕様では下記の通り書かれています (意訳) (URL)

一部のサーバはContent-RangeヘッダがつくPUTリクエストをサポートしていますが、サポートには一貫性がありません。

そのようなリクエストは、Content-Rangeヘッダで指定された範囲でURIリソース書き換える。

このように既存実装の存在を配慮しつつ、利用を緩和しています。

サーバがContent-Rangeヘッダの通り解釈できず、まるごと上書きしてしまう可能もあるため、事前にサーバが対応していることを知っている時のみに使用するのが良さそうです。

おまけ

部分的アップロードに関しては、じつは別の仕様があったりしました。書かれている通りPATCHメソッドを使うことが想定されています。
asnokaze.hatenablog.com

EARLY_DATA_SETTINGS

提案仕様の中では、EARLY_DATA_SETTINGSという新しいSETTINGSパラメータを定義しています。これはTLS1.3のEarly Dataでデータを送る際に、以前やり取りしたときのSETTINGSパラメータを利用できるようにします。

• クライアントは、EARLY_DATA_SETTINGSが1のパラメータを送信することで、この拡張に対応している事をサーバに通知します
• サーバも、EARLY_DATA_SETTINGSが1のパラメータを送信することで、この拡張に対応している事をクライアントに通知します。なお、このパラメータを送信したあとに発行されたTLS session tickets は現在のSETTINGSパラメータと関連付けられ、session ticketsチケットを利用する際には発行時のSETTINGSパラメータが尊重されます。

使用中では既存のパラメータごとにsession ticketsとともに記憶するかや、0.5-RTTデータで送られてくるサーバ側のSETTINGSフレームについてなど、サーバ・クライアントの振る舞いについて詳しく書かれています。

もちろん、TLS1.3 Early Dataはリプレイ攻撃される可能性があるため、拡張を利用するにしてもそれを考慮する必要があります。サーバ側は冪等に処理できないものに関しては425 Too Earlyを返す必要があります。

asnokaze.hatenablog.com

Deprecationヘッダ

レスポンスに、下記の様なヘッダを付けることで、そのリソースが非推奨になっている事を示します

Deprecation: true

Deprecation: Sun, 11 Nov 2018 23:59:59 GMT

• true: 非推奨になっている
• 日付: 指定した日付で非推奨になる

Linkヘッダ

「RFC8288 Web Linking」の仕組みを用いて、 Linkヘッダで追加の情報を与えます

relにdeprecationを指定することで、非推奨に関するドキュメントのリンクを提供できます

   Link: <https://developer.example.com/deprecation>;
         rel="deprecation"; type="text/html"

relにalternateを指定することで、代替エンドポイントを提供できます

   Deprecation: Sun, 11 Nov 2018 23:59:59 GMT
   Link: <https://api.example.com/v1/clients>; rel="alternate"

relにsuccessor-versionを指定することで、次のバージョンエンドポイントを指定します。

  Deprecation: Sun, 11 Nov 2018 23:59:59 GMT
  Sunset: Wed, 11 Nov 2020 23:59:59 GMT
  Link: <https://api.example.com/v2/customers>; rel="successor-version",
        <https://developer.example.com/deprecation>; rel="deprecation"

合わせてsunsetヘッダで廃止時間も示せますね
asnokaze.hatenablog.com

prefetch機能とプライバシーの問題

Webページの表示の高速化のために、プリフェッチ機能が使用されています。prefetchはユーザが次に読み込むであろうページのリソースを事前に取得することで、ページの表示を高速化します。

特にcross-siteのプリフェッチにおる際に問題になります。プリフェッチを受けるサーバ側では、実際にユーザがアクセスしたかは別として、そのサイトをリンクしているページを開いている事がわかります。

ユーザを識別できないように、prefetch時にはCookieなどは送られないようですが、IPアドレスは分かってしまいます。

このユーザのIPアドレスを隠蔽するのに登場するのが、Private prefetch proxyです。

Private prefetch proxy

Private prefetch proxyはプリフェッチの際に使用するプロキシです。

Chromeはプリフェッチする際に、Googleが運用するPrivate prefetch proxyにHTTP/2 CONNECTメソッドで接続します。このときChromeとプリフェッチ先のサーバはend-to-endで暗号化されるため、プロキシはその中身は見ることは出来ません。プリフェッチ先のサーバはプロキシのIPアドレスしか見えないので、ユーザのIPアドレスを知ることは出来ません。

ようは通常のプロキシとそうかわらなさそうです（ただし、ユーザの手を煩わせて設定するということはありません）。また、Chromeからのみ使えるといったような制限もあるもようです。

この説明だけでは様々な疑問が出て来るかと思いますが、下記リポジトリでFAQに答えています。例えば、コンテンツブロックやISPへの影響などについて書かれています。
github.com

また、Proxyの悪事が懸念されるわけですが、"trusted private prefetch proxy" というものが登場します。

このtrustに関わる部分については、コミュニティと議論しつつ要件などを整理していくというところのようです。

おまけ

trustedなproxyと聞くと、2014年頃にHTTP/2の議論とともに「Explicit Trusted Proxy」というものがあったのを思い出す。

日本語でも言及している記事があるので参考までにどうぞ
blog.nunnun.jp

jxck.hatenablog.com