Sichere Cookies für LiteSpeed konfigurieren

Schritt-für-Schritt-Anleitung: Cookie-Attribute auf LiteSpeed absichern — per .htaccess-Regex oder direkt im Anwendungs-Framework, inklusive LSCache-Kompatibilität.

Cookies prüfen Plattform entdecken
LiteSpeed · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

Sichere Cookie-Konfiguration auf LiteSpeed

Sichere Cookie-Attribute (Secure, HttpOnly, SameSite) schützen Session-Daten vor Diebstahl und Cross-Site-Angriffen. LiteSpeed selbst setzt keine Cookie-Attribute — es reicht die Set-Cookie-Header der Anwendung durch. Sie haben zwei Wege: per .htaccess mit Regex-Matching oder direkt im Anwendungs-Framework.

Die .htaccess-Methode ist ein Sicherheitsnetz, das alle Cookies unabhängig von der Anwendung absichert. Die Framework-Methode bietet präzisere Kontrolle pro Cookie. Der Wolf-Agents Web Security Check prüft Cookie-Attribute als Teil der 166 Prüfpunkte und bewertet sie mit bis zu 15 Punkten.

Ausführliche Einführung in sichere Cookies

1 Variante 1: .htaccess

Cookie-Attribute per .htaccess erzwingen

Die Header always edit-Direktive modifiziert bestehende Set-Cookie-Header per Regex. Diese Methode wirkt als Sicherheitsnetz für alle Cookies — auch solche von Drittanbieter-Plugins oder älteren Frameworks, die keine sicheren Defaults setzen.

.htaccess Sicherheitsnetz 
# .htaccess — Cookie-Attribute auf LiteSpeed absichern
<IfModule mod_headers.c>
    # Secure-Flag für alle Cookies erzwingen
    Header always edit Set-Cookie "(?i)^((?:(?!;\s*Secure).)+)$" "$1; Secure"

    # HttpOnly-Flag für alle Cookies
    Header always edit Set-Cookie "(?i)^((?:(?!;\s*HttpOnly).)+)$" "$1; HttpOnly"

    # SameSite=Lax als Standard
    Header always edit Set-Cookie "(?i)^((?:(?!;\s*SameSite).)+)$" "$1; SameSite=Lax"
</IfModule>
2 Variante 2: PHP-Framework

Cookie-Attribute im Anwendungs-Framework

Die bevorzugte Methode: Cookie-Attribute direkt in PHP oder Ihrem Framework setzen. Dies bietet präzise Kontrolle pro Cookie und ist unabhängig von der Webserver-Konfiguration.

PHP-Konfiguration Empfohlen 
<?php
// PHP auf LiteSpeed — Session-Cookie absichern
ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_samesite', 'Lax');
ini_set('session.use_strict_mode', 1);

// Eigenes Cookie mit allen Attributen setzen
setcookie('token', $value, [
    'expires'  => time() + 3600,
    'path'     => '/',
    'domain'   => 'ihre-domain.de',
    'secure'   => true,
    'httponly' => true,
    'samesite' => 'Lax',
]);
LSCache und Cookies

LSCache cached Seiten standardmäßig nicht, wenn ein Request Cookies enthält. Session-Cookies werden daher nie gecacht. Für öffentliche Seiten ohne Cookies funktioniert LSCache normal.

Verifizierung

Nach der Konfiguration prüfen Sie die Cookie-Attribute mit curl und den Browser DevTools. Testen Sie sowohl Session-Cookies als auch anwendungsspezifische Cookies. Der Wolf-Agents Web Security Check verifiziert die Cookie-Konfiguration automatisch.

Terminal Verifizierung 
# 1. Graceful Restart
/usr/local/lsws/bin/lswsctrl restart

# 2. Cookie-Header prüfen
curl -sI -c - https://ihre-domain.de | grep -i set-cookie

# Erwartete Ausgabe:
# Set-Cookie: PHPSESSID=abc123; path=/; Secure; HttpOnly; SameSite=Lax

# 3. Browser DevTools: Application > Cookies prüfen
# Alle Cookies sollten Secure, HttpOnly und SameSite zeigen

Häufige Fehler bei Cookies auf LiteSpeed

LiteSpeed-spezifische Cookie-Probleme entstehen durch das Zusammenspiel von .htaccess-Caching, LSCache und der Web Admin Console.

.htaccess-Regex greift nicht nach Änderung

LiteSpeed cached .htaccess. Nach Änderungen an der Header-edit-Direktive ist ein Graceful Restart nötig: /usr/local/lsws/bin/lswsctrl restart

LSCache liefert Cookies an falsche Benutzer

Wenn LSCache Seiten mit Set-Cookie-Headern cached, erhalten alle Besucher den gleichen Cookie. Lösung: X-LiteSpeed-Cache-Control: no-cache für Seiten mit Cookies setzen.

Doppelte Cookie-Attribute

Wenn Framework und .htaccess beide Attribute setzen, können Duplikate entstehen (z.B. Secure; Secure). Die Regex-Bedingung (?!;\\s*Secure) verhindert dies — sie prüft, ob das Attribut bereits existiert.

Plesk LiteSpeed-Plugin setzt eigene Cookies

Das Plesk LiteSpeed-Plugin kann eigene Cache-Cookies setzen. Diese sind nicht über .htaccess kontrollierbar. Prüfen Sie die Plugin-Einstellungen separat.

Compliance-Relevanz

PCI DSS 4.0 (Anforderung 6.2.4) fordert sichere Cookie-Attribute für Session-Management. NIS2 verlangt Schutz personenbezogener Daten in der Übertragung. DSGVO erfordert technische Maßnahmen zum Schutz von Nutzerdaten — sichere Cookie-Attribute sind ein grundlegender Baustein. Der Wolf-Agents Web Security Check bewertet Cookie-Sicherheit mit bis zu 15 Punkten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Sichere Cookies?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Kann LiteSpeed Cookie-Attribute automatisch setzen?

LiteSpeed selbst setzt keine Cookie-Attribute. Es reicht Set-Cookie-Header der Anwendung durch. Sie können per .htaccess mit Header edit oder Header always edit bestehende Set-Cookie-Header modifizieren, um Attribute hinzuzufügen.

Beeinflusst LSCache die Cookie-Konfiguration?

Ja. LSCache cached Seiten standardmäßig ohne Cookies. Wenn ein Request ein Cookie enthält (z.B. Session-Cookie), wird die Seite nicht gecached. Für öffentliche Seiten ist das gewünscht — Session-Cookies sollten nie gecacht werden.

Was ist der Unterschied zu Apache bei Cookies?

Die .htaccess-Syntax ist identisch. Unterschiede: LiteSpeed cached .htaccess (Graceful Restart nötig), LSCache interagiert mit Cookies (z.B. vary-by-cookie), und die Web Admin Console bietet keine Cookie-spezifische Konfiguration.