HTTP 리다이렉트는 서버가 브라우저(또는 모든 HTTP 클라이언트)에게 다른 URL로 새로운 요청을 하도록 지시하는 응답입니다. 핵심적으로 HTTP 리다이렉트는 특정 상태 코드와 Location 헤더를 포함하는 서버 응답입니다. 예를 들어, HTTP/1.1 302 Found와 Location: /login은 브라우저에게 현재 응답 처리를 중단하고 /login으로 새로운 요청을 시작하도록 지시합니다.
리다이렉트는 크게 영구적 리다이렉트와 임시적 리다이렉트로 나뉩니다. 301 Moved Permanently 또는 308 Permanent Redirect와 같은 영구적 리다이렉트는 리소스가 영구적으로 새 위치로 이동했음을 알리며, 검색 엔진은 인덱스를 업데이트하고 SEO 순위를 새 URL로 이전합니다. 반면, 302 Found, 303 See Other, 307 Temporary Redirect와 같은 임시적 리다이렉트는 리소스가 일시적으로 이동했음을 나타내며, 클라이언트는 향후 요청에 대해 원래 URL을 계속 사용해야 합니다. SEO 관점에서 이 두 가지 유형의 올바른 사용은 매우 중요하며, 오용은 순위 손실이나 인덱싱 오류로 이어질 수 있습니다.
리다이렉트 상태 코드는 브라우저에게 어디로 갈지 뿐만 아니라 후속 요청이 어떻게 이루어질지에도 영향을 미칩니다. 특히, 일부 리다이렉트 코드는 브라우저에게 원래 요청 메서드와 본문을 버리고 간단한 GET 요청을 사용하도록 지시합니다. 예를 들어, 301 및 302는 클라이언트에 따라 GET 리다이렉트로 처리될 수 있으며, 303 See Other는 클라이언트가 새 위치로 GET 요청을 하도록 명확히 지시하여 양식 제출 후 가장 안전하고 예측 가능한 리다이렉트 방법입니다. 307 및 308은 원래 HTTP 메서드와 본문을 보존합니다.
Rails의 redirect_to 메서드는 이러한 저수준 리다이렉트 로직을 하나의 깔끔한 호출로 추상화합니다. 수동으로 리다이렉트를 구현하려면 response.status, response.headers['Location'], self.response_body = nil을 직접 설정해야 하지만, redirect_to는 이 모든 것을 자동으로 처리합니다. redirect_to는 문자열 URL, 이름 있는 경로, 레코드, 라우트 파라미터 해시, 사용자 정의 상태 코드, Proc 등 다양한 입력을 지원하여 매우 유연합니다.
안전한 외부 URL 리다이렉트를 위해 Rails는 기본적으로 오픈 리다이렉트(Open Redirect)로부터 보호합니다. 외부 호스트로 리다이렉트하려는 경우 allow_other_host: true 옵션을 명시적으로 사용해야 하지만, 사용자 입력에서 URL이 오는 경우 허용 목록에 대해 유효성을 검사하거나 알려진 대체 위치로 리다이렉트하는 것이 더 안전합니다. 또한, Rails는 사용자를 이전 페이지로 되돌리는 redirect_back_or_to 헬퍼 메서드를 제공합니다. 이 메서드는 Referer 헤더를 확인하고, 정보가 없거나 안전하지 않은 경우 지정된 대체 위치로 리다이렉트합니다.
redirect_to 메서드의 내부 소스 코드를 살펴보면, nil이 전달되거나 이미 응답이 설정된 경우 오류를 발생시켜 이중 렌더링을 방지합니다. 또한, allow_other_host 옵션을 통해 다른 호스트로의 리다이렉트 안전성을 결정하고, _extract_redirect_to_status를 통해 HTTP 상태 코드를 결정하며, _compute_redirect_to_location을 통해 다양한 옵션을 완전한 URL 문자열로 변환합니다. 마지막으로, _enforce_open_redirect_protection을 통해 오픈 리다이렉트 보호를 적용하고, self.response_body를 비우고 self.status를 설정하여 최종 응답을 구성합니다. 이러한 내부 메커니즘은 redirect_to가 단순한 호출 뒤에서 얼마나 견고하게 작동하는지를 보여줍니다.