Data URIs

Data URIs, 즉 data: 스킴이 접두어로 붙은 URL은 컨텐츠 작성자가 작은 파일을 문서 내에 인라인으로 임베드할 수 있도록 해줍니다.

구문

Data URIs는 네 가지 파트로 구성됩니다: 접두사(data:), 데이터의 타입을 가리키는 MIME 타입, 텍스트가 아닌 경우 사용될 부가적인 base64 토큰 그리고 데이터 자체:

data:[<mediatype>][;base64],<data>

mediatype이란, MIME 타입을 말합니다(JPEG 이미지의 경우 'image/jpeg'). 만약 생략된다면, 기본 값으로 text/plain;charset=US-ASCII이 사용됩니다. 

데이터가 텍스트인 경우, 단순히 텍스트를 (포함된 문서 유형에 따라 적합한 엔티티 혹은 이스케이프를 사용하여) 임베드할 수 있습니다. 그게 아니라면, base64로 인코딩된 이진 데이터를 임베드하기 위해 base64를 지정할 수 있습니다.

몇 가지 예제:

data:,Hello%2C%20World!
간단한 text/plain 데이터
data:text/plain;base64,SGVsbG8sIFdvcmxkIQ%3D%3D
위 예제의 base64 인코딩 버전
data:text/html,%3Ch1%3EHello%2C%20World!%3C%2Fh1%3E
<h1>Hello, World!</h1>인 HTML 문서
data:text/html,<script>alert('hi');</script>
자바스크립트 얼럿을 실행하는 HTML 문서입니다. 닫기 스크립트 태그가 필요하다는 것을 기억하세요.

base64 포맷으로 데이터 인코딩하기

리눅스와 Mac OS X 시스템의 명령줄에서 uuencode 유틸리티를 사용해 쉽게 인코딩할 수 있습니다:

uuencode -m infile remotename

infile 파라메터는 base64 포맷으로 인코딩하려는 파일의 이름이며, remotename는 파일에 대한 원격지 이름으로 data URLs내에서는 실제로 사용되지 않습니다.

출력은 다음과 같은 내용일 겁니다:

begin-base64 664 test
YSBzbGlnaHRseSBsb25nZXIgdGVzdCBmb3IgdGV2ZXIK
====

Data URI는 초기 헤더줄 다음의 인코딩된 데이터를 사용하게 됩니다.

웹 페이지에서 JavaScript 사용하기

웹 API는 base64로 인코딩하거나 디코딩하기 위한 프리미티브를 가지고 있습니다: Base64 인코딩과 디코딩.

일반적인 문제점

이 섹션에서는 data URIs를 만들고 사용할 때 일반적으로 발생하는 문제점들에 대해 설명합니다.

구문
data URIs를 위한 문법은 매우 간단하지만, "data" 세그먼트 앞에 콤마를 넣는 것을 쉽게 잊거나 데이터를 base64 포맷으로 부정확하게 인코딩하는 경우가 있습니다.
HTML 내에 포맷시키기
data URI는 동봉된 문서의 너비에 비례할 가능성이 높은 파일 내에 파일을 제공하게 됩니다. URL로 data를 공백 문자(라인 피드, 탭 혹은 스페이스)을 사용해 포맷이 가능해야 하지만 base64 인코딩을 사용할 때 일어나는 실질적인 문제가 있습니다.
길이 제한
파이어폭스는 기본적으로 길이 제한이 없는 data URIs를 지원하지만, 브라우저들은 데이터의 개별적인 최대 길이를 제공해야 할 의무가 없습니다. 예를 들어, 오페라 11 브라우저는 data URL을 65529 문자로 제한하는 65535 개의 character long으로 제한합니다(MIME 타입을 지정하지 않고 plain data를 사용한다면, 소스가 아닌 인코딩된 데이터의 길이는 65529자가 됩니다).
오류 처리의 부족
미디어 내의 유효하지 않은 파라메터들 또는 'base64'를 지정할 때 오타들은 무시되지만 오류가 발생하지는 않습니다.
쿼리 문자열에 대한 미지원 등

data URI의 data 일부는 불명확해서 데이터 URI를 이용해 쿼리 문자열(<url>?parameter-data 문법을 이용한 페이지 특정의 파라메터)을 사용하려는 시도는 URI가 나타내는 데이터 내에 쿼리 문자열을 포함하게 됩니다. 예를 들어: 

data:text/html,lots of text...<p><a name%3D"bottom">bottom</a>?arg=val

이는 내용이 다음과 같은 HTML 리소스를 나타냅니다:

lots of text...<p><a name="bottom">bottom</a>?arg=val

명세서

명세 제목
RFC 2397 The "data" URL scheme"

브라우저 호환성

We're converting our compatibility data into a machine-readable JSON format. This compatibility table still uses the old format, because we haven't yet converted the data it contains. Find out how you can help!

Feature Chrome Firefox (Gecko) Edge Internet Explorer Opera Safari
Basic support (Yes) (Yes) 12[2] 8[1][2] 7.20 (Yes)
Feature Android Firefox Mobile (Gecko) IE Mobile Opera Mobile Safari Mobile
Basic support (Yes) (Yes) (Yes) (Yes) (Yes)

[1] IE8은 CSS 파일 내의 data URIs만 최대 32kB 크기 내에서 지원합니다.

[2]IE9과 그 이후, 그리고 엣지를 포함한 버전은 CSS와 JS 파일 내 data URIs를 최대 크기 4GB내에서 지원하지만, HTML 파일 내에서는 지원하지 않습니다.

함께 참고할 내용

관련 주제
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept
    2. Accept-Charset
    3. Accept-Encoding
    4. Accept-Language
    5. Accept-Ranges
    6. Access-Control-Allow-Credentials
    7. Access-Control-Allow-Headers
    8. Access-Control-Allow-Methods [Translate]
    9. Access-Control-Allow-Origin
    10. Access-Control-Expose-Headers [Translate]
    11. Access-Control-Max-Age [Translate]
    12. Access-Control-Request-Headers [Translate]
    13. Access-Control-Request-Method [Translate]
    14. Age
    15. Allow [Translate]
    16. Alt-Svc [Translate]
    17. Authorization
    18. Cache-Control
    19. Clear-Site-Data [Translate]
    20. Connection
    21. Content-Disposition [Translate]
    22. Content-Encoding
    23. Content-Language
    24. Content-Length
    25. Content-Location
    26. Content-Range
    27. Content-Security-Policy
    28. Content-Security-Policy-Report-Only [Translate]
    29. Content-Type
    30. Cookie
    31. Cookie2 [Translate]
    32. DNT
    33. Date
    34. ETag
    35. Early-Data [Translate]
    36. Expect
    37. Expect-CT [Translate]
    38. Expires
    39. Feature-Policy [Translate]
    40. Forwarded
    41. From
    42. Host
    43. If-Match [Translate]
    44. If-Modified-Since [Translate]
    45. If-None-Match [Translate]
    46. If-Range
    47. If-Unmodified-Since [Translate]
    48. Index [Translate]
    49. Keep-Alive
    50. Large-Allocation [Translate]
    51. Last-Modified
    52. Location [Translate]
    53. Origin [Translate]
    54. Pragma
    55. Proxy-Authenticate [Translate]
    56. Proxy-Authorization [Translate]
    57. Public-Key-Pins [Translate]
    58. Public-Key-Pins-Report-Only [Translate]
    59. Range
    60. Referer
    61. Referrer-Policy [Translate]
    62. Retry-After
    63. Sec-WebSocket-Accept [Translate]
    64. Server
    65. Server-Timing [Translate]
    66. Set-Cookie
    67. Set-Cookie2 [Translate]
    68. SourceMap [Translate]
    69. Strict-Transport-Security
    70. TE [Translate]
    71. Timing-Allow-Origin [Translate]
    72. Tk [Translate]
    73. Trailer [Translate]
    74. Transfer-Encoding
    75. Upgrade-Insecure-Requests [Translate]
    76. User-Agent [Translate]
    77. Vary [Translate]
    78. Via [Translate]
    79. WWW-Authenticate [Translate]
    80. Warning [Translate]
    81. X-Content-Type-Options [Translate]
    82. X-DNS-Prefetch-Control [Translate]
    83. X-Forwarded-For [Translate]
    84. X-Forwarded-Host [Translate]
    85. X-Forwarded-Proto
    86. X-Frame-Options
    87. X-XSS-Protection
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD
    5. OPTIONS
    6. PATCH [Translate]
    7. POST
    8. PUT
    9. TRACE [Translate]
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols [Translate]
    3. 200 OK
    4. 201 Created [Translate]
    5. 202 Accepted [Translate]
    6. 203 Non-Authoritative Information [Translate]
    7. 204 No Content [Translate]
    8. 205 Reset Content [Translate]
    9. 206 Partial Content
    10. 300 Multiple Choices [Translate]
    11. 301 Moved Permanently
    12. 302 Found
    13. 303 See Other [Translate]
    14. 304 Not Modified [Translate]
    15. 307 Temporary Redirect [Translate]
    16. 308 Permanent Redirect [Translate]
    17. 400 Bad Request [Translate]
    18. 401 Unauthorized [Translate]
    19. 403 Forbidden
    20. 404 Not Found
    21. 405 Method Not Allowed
    22. 406 Not Acceptable [Translate]
    23. 407 Proxy Authentication Required [Translate]
    24. 408 Request Timeout [Translate]
    25. 409 Conflict [Translate]
    26. 410 Gone [Translate]
    27. 411 Length Required
    28. 412 Precondition Failed [Translate]
    29. 413 Payload Too Large
    30. 414 URI Too Long [Translate]
    31. 415 Unsupported Media Type [Translate]
    32. 416 Range Not Satisfiable
    33. 417 Expectation Failed [Translate]
    34. 418 I'm a teapot [Translate]
    35. 422 Unprocessable Entity
    36. 425 Too Early [Translate]
    37. 426 Upgrade Required [Translate]
    38. 428 Precondition Required [Translate]
    39. 429 Too Many Requests [Translate]
    40. 431 Request Header Fields Too Large [Translate]
    41. 451 Unavailable For Legal Reasons [Translate]
    42. 500 Internal Server Error [Translate]
    43. 501 Not Implemented [Translate]
    44. 502 Bad Gateway [Translate]
    45. 503 Service Unavailable [Translate]
    46. 504 Gateway Timeout [Translate]
    47. 505 HTTP Version Not Supported [Translate]
    48. 511 Network Authentication Required [Translate]
  21. CSP directives
    1. CSP: base-uri [Translate]
    2. CSP: block-all-mixed-content [Translate]
    3. CSP: child-src [Translate]
    4. CSP: connect-src [Translate]
    5. CSP: default-src
    6. CSP: font-src [Translate]
    7. CSP: form-action [Translate]
    8. CSP: frame-ancestors [Translate]
    9. CSP: frame-src [Translate]
    10. CSP: img-src
    11. CSP: manifest-src [Translate]
    12. CSP: media-src
    13. CSP: object-src [Translate]
    14. CSP: plugin-types [Translate]
    15. CSP: referrer [Translate]
    16. CSP: report-uri [Translate]
    17. CSP: require-sri-for [Translate]
    18. CSP: sandbox [Translate]
    19. CSP: script-src
    20. CSP: style-src [Translate]
    21. CSP: upgrade-insecure-requests [Translate]
    22. CSP: worker-src [Translate]
    23. report-to
  22. CORS errors
    1. Reason: CORS disabled [Translate]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Translate]
    3. Reason: CORS header 'Access-Control-Allow-Origin' missing [Translate]
    4. Reason: CORS header ‘Origin’ cannot be added [Translate]
    5. Reason: CORS preflight channel did not succeed [Translate]
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Translate]
    8. Reason: CORS request not HTTP [Translate]
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Translate]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Translate]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Translate]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Translate]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Translate]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Translate]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Translate]
  23. Feature-Policy directives
    1. Feature-Policy: autoplay [Translate]
    2. Feature-Policy: camera [Translate]
    3. Feature-Policy: encrypted-media [Translate]
    4. Feature-Policy: fullscreen [Translate]
    5. Feature-Policy: geolocation [Translate]
    6. Feature-Policy: microphone [Translate]
    7. Feature-Policy: midi [Translate]
    8. Feature-Policy: payment [Translate]
    9. Feature-Policy: vr [Translate]
    10. document-domain [Translate]