Sichere Cookies auf All-Inkl konfigurieren
Cookie-Sicherheit auf Ihrem All-Inkl Webhosting — Secure, HttpOnly und SameSite per .htaccess oder PHP setzen. Für PHP-Sessions und eigene Cookies.
Sichere Cookie-Konfiguration auf All-Inkl
Sichere Cookies schützen Session-Daten vor Diebstahl und CSRF-Angriffen. Die drei wichtigsten Flags — Secure, HttpOnly und SameSite — verhindern, dass Cookies über unsichere Verbindungen gesendet, per JavaScript ausgelesen oder bei Cross-Site-Requests übermittelt werden. Im Wolf-Agents Web Security Check sind sichere Cookies 15 von 166 Punkten wert.
Auf All-Inkl konfigurieren Sie PHP-Session-Cookies über php_value-Direktiven in der .htaccess-Datei. Alternativ setzen Sie die Werte direkt in der KAS PHP-Konfiguration oder per ini_set() im PHP-Code. Für eigene Cookies nutzen Sie setcookie() mit den entsprechenden Sicherheitsparametern.
Cookies auf All-Inkl absichern
Die einfachste Methode ist die .htaccess-Datei mit php_value-Direktiven. Diese überschreiben die php.ini-Einstellungen für Ihr Verzeichnis. Für eigene Cookies verwenden Sie die PHP-setcookie()-Funktion mit dem Options-Array (ab PHP 7.3).
# /www/htdocs/[username]/[domain]/.htaccess
# PHP-Session-Cookie-Einstellungen
php_value session.cookie_secure 1
php_value session.cookie_httponly 1
php_value session.cookie_samesite "Lax"
php_value session.use_strict_mode 1
php_value session.use_only_cookies 1// PHP-Alternative: Session-Konfiguration
<?php
ini_set('session.cookie_secure', '1');
ini_set('session.cookie_httponly', '1');
ini_set('session.cookie_samesite', 'Lax');
ini_set('session.use_strict_mode', '1');
ini_set('session.use_only_cookies', '1');
session_start();
// Eigene Cookies sicher setzen (PHP 7.3+)
setcookie('mein_cookie', 'wert', [
'expires' => time() + 3600,
'path' => '/',
'domain' => 'ihre-domain.de',
'secure' => true,
'httponly' => true,
'samesite' => 'Lax',
]);
?>Die SameSite-Option in setcookie() erfordert PHP 7.3+. Prüfen Sie Ihre PHP-Version in KAS unter Einstellungen → PHP. Aktualisieren Sie auf mindestens PHP 8.2 für optimale Sicherheit und Performance.
Verifizierung
Prüfen Sie die Cookie-Flags in den Browser DevTools. Öffnen Sie F12 → Application → Cookies. Jeder Cookie sollte die Flags Secure, HttpOnly und SameSite=Lax anzeigen.
# Set-Cookie-Header prüfen
curl -sI https://ihre-domain.de | grep -i set-cookie
# Erwartete Flags im Cookie:
# Set-Cookie: PHPSESSID=...; path=/; Secure; HttpOnly; SameSite=LaxSet-Cookie-Header und bewertet die Sicherheitsflags. Secure erfordert ein aktives HTTPS — aktivieren Sie zuerst Let's Encrypt in KAS. Häufige Fehler bei Cookies auf All-Inkl
PHP-Version unter 7.3 in KAS — SameSite nicht verfügbar
Das SameSite-Attribut in setcookie() erfordert PHP 7.3+. Auf älteren Versionen wird der Parameter ignoriert. Aktualisieren Sie in KAS unter Einstellungen → PHP → Version auf PHP 8.2 oder neuer. Achtung: php_value session.cookie_samesite in der .htaccess braucht den Wert in Anführungszeichen: php_value session.cookie_samesite "Lax".
session_start() vor ini_set()
PHP ini_set()-Aufrufe müssen vor session_start() stehen. Wird die Session zuerst gestartet, sind die Cookie-Einstellungen bereits festgelegt. Die .htaccess-Methode hat dieses Problem nicht, da die Werte vor PHP-Ausführung gelten.
CMS überschreibt Cookie-Einstellungen
WordPress, Joomla und andere CMS setzen eigene Cookie-Parameter. Die .htaccess-Einstellungen gelten nur für PHP-Sessions, nicht für CMS-spezifische Cookies. Prüfen Sie die CMS-eigene Cookie-Konfiguration und verwenden Sie ggf. ein Security-Plugin.
Compliance-Relevanz
Sichere Cookie-Konfiguration ist sowohl aus Datenschutz- als auch aus Sicherheitsperspektive gefordert. Unsichere Session-Cookies sind ein häufiger Angriffsvektor für Session Hijacking.
Wie steht Ihre Domain bei Sichere Cookies?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.