Hallo Rolf

HSTS ohne Redirect bedeutet, dass Du auf http Requests nicht mehr antworten darfst. Wenn Dich also jemand mit http aufruft, gibt es eine Fehlermeldung.

Ah ja alles klar. Ich verstehe.

Du solltest dann auch noch aus deinen Cookies Hartkekse machen, so dass sie bei einem initialen http Request nicht ausgeliefert werden. Aber ich glaube, das Thema hatten wir in einem anderen Thread schon.

Ich denke/hoffe, dass ich das auch schon erledigt habe. Meine Seite setzt ja nur ein PHP Session cookie. Und beim Testergebnis von securityheaders.com wird mir jetzt angetzeigt:

Set-Cookie PHPSESSID=[xxx]; path=/; secure; HttpOnly; SameSite=strict

Damit müsste das doch erfüllt sein. Sehe ich das richtig?

Weiter unten im Testergebnis von securityheaders.com wird mir noch angezeigt:

There is no Cookie Prefix on this cookie.

Das habe ich aber noch nicht hinbekommen. Kann man das auch mit der php.ini machen?

Gruß Ingo