Verschiedene, teilweise sicherheitsrelevante Funktionalitäten können durch HTTP-Header aktiviert werden, so zum Beispiel die HTTP Strict Transport Security.

Wenn man eine dynamisch generierte Webseite (z.B. via php) hat kann man relativ einfach zusätzliche HTTP-Header definieren, die ausgeliefert werden sollen. Bei php kann dies z.B. mit der Funktion header() erreicht werden.

Bei statischen Webseiten gibt es diese Möglichkeit nicht. Oftmals hostet man solche Webseiten unter einem einfachen (shared) Hosting, für welches der Webhoster (in meinem Fall Hostpoint) oftmals in seiner Verwaltungsoberfläche keine Möglichkeit bietet die Header anzupassen.

Wenn die Webseiten mit dem Apache HTTP Server ausgeliefert werden und der Webhoster das Modul mod_headers aktiviert hat können über Einträge in der Datei .htaccess zusätzliche Header gesetzt werden.

Um zu überprüfen, ob der Mechanismus funktioniert kann ein Dummy-Header ausgegeben werden, der dann über die Entwicklerwerkzeuge des Browsers geprüft werden kann. Dies ist ungefährlich, da unbekannte Header vom Browser ignoriert werden. So kann z.B. folgende Zeile in der .htaccess-Datei im passenden Verzeichnis hinzugefügt werden:

Dabei muss darauf geachtet werden, ob ein Bereich in der .htaccess-Datei für automatische Einträge durch die Verwaltungsoberfläche des Hosters reserviert ist. Falls die Datei noch nicht existiert kann sie mit der obigen Zeile als einzigem Inhalt neu erzeugt werden.

Wenn das Ganze erfolgreich war sollte im Antwort-Header eine Zeile mit folgendem Inhalt vorhanden sein:

Wenn dies erfolgreich war kann der Test-Eintrag wieder gelöscht und der richtige Header definiert werden. Ansonsten sollte der Eintrag nochmals kontrolliert oder dann der Support des Hosters kontaktiert werden.