oxo888oxo: HSTS und Umleitung auf https per RewriteCond gleichzeitig sinnvoll?

SELF-Forum

HSTS und Umleitung auf https per RewriteCond gleichzeitig sinnvoll?

oxo888oxo Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo

Ich habe für meine Website ja HSTS aktiviert. Und ich habe gleichzeitig in meiner .htaccess-Datei noch eine Umleitung von hhtp auf https drin.

RewriteEngine On
RewriteCond %{SERVER_PORT} !=443 [OR]
RewriteCond %{HTTP_HOST} ^www\.spaceart\.de
RewriteRule ^(.*)$ https://spaceart.de/$1 [R=301,L]

Ist es denn sinnvoll, dass beides zu haben? Oder sollte ich das aus meiner .htaccess-Datei entfernen?

Gruß Ingo

Beitrag melden
Informationen zu den Bewertungsregeln

  1. HSTS und Umleitung auf https per RewriteCond gleichzeitig sinnvoll?

    Rolf B
    Informationen zu den Bewertungsregeln

    Hallo oxo888oxo,

    Ist es denn sinnvoll, dass beides zu haben?

    Ja.

    HSTS ohne Redirect bedeutet, dass Du auf http Requests nicht mehr antworten darfst. Wenn Dich also jemand mit http aufruft, gibt es eine Fehlermeldung.

    Der Redirect wird bei jedem irrtümlichen http Request ausgeführt. Mit HSTS sagst Du dem Browser, dass er das in Zukunft unterlassen soll und direkt auf https umschaltet, egal ob der User das angibt oder nicht.

    Du solltest dann auch noch aus deinen Cookies Hartkekse machen, so dass sie bei einem initialen http Request nicht ausgeliefert werden. Aber ich glaube, das Thema hatten wir in einem anderen Thread schon.

    Rolf

    --
    sumpsi - posui - obstruxi
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. HSTS und Umleitung auf https per RewriteCond gleichzeitig sinnvoll?

      oxo888oxo
      Informationen zu den Bewertungsregeln

      Hallo Rolf

      HSTS ohne Redirect bedeutet, dass Du auf http Requests nicht mehr antworten darfst. Wenn Dich also jemand mit http aufruft, gibt es eine Fehlermeldung.

      Ah ja alles klar. Ich verstehe.

      Du solltest dann auch noch aus deinen Cookies Hartkekse machen, so dass sie bei einem initialen http Request nicht ausgeliefert werden. Aber ich glaube, das Thema hatten wir in einem anderen Thread schon.

      Ich denke/hoffe, dass ich das auch schon erledigt habe. Meine Seite setzt ja nur ein PHP Session cookie. Und beim Testergebnis von securityheaders.com wird mir jetzt angetzeigt:

      Set-Cookie PHPSESSID=[xxx]; path=/; secure; HttpOnly; SameSite=strict

      Damit müsste das doch erfüllt sein. Sehe ich das richtig?

      Weiter unten im Testergebnis von securityheaders.com wird mir noch angezeigt:

      There is no Cookie Prefix on this cookie.

      Das habe ich aber noch nicht hinbekommen. Kann man das auch mit der php.ini machen?

      Gruß Ingo

      Beitrag melden
      Informationen zu den Bewertungsregeln