Sichere Cookies auf Strato konfigurieren

Cookie-Attribute auf Ihrem Strato Webhosting absichern — HttpOnly, Secure und SameSite per .htaccess und PHP-Konfiguration. Von Session-Cookies bis benutzerdefinierte Cookies.

Cookies prüfen Plattform entdecken
Strato · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 28. März 2026

Sichere Cookie-Konfiguration auf Strato

Sichere Cookie-Attribute schützen Session-Daten vor Diebstahl und Manipulation. Secure stellt sicher, dass Cookies nur über HTTPS gesendet werden, HttpOnly verhindert JavaScript-Zugriff und SameSite schützt vor CSRF-Angriffen. Cookies sind mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check.

Auf Strato Shared Hosting konfigurieren Sie Cookie-Attribute über zwei Wege: php_value-Direktiven in der .htaccess-Datei oder direkt im PHP-Code mit ini_set() und setcookie(). Beide Methoden funktionieren auf allen Strato-Tarifen — Shared Hosting, WordPress Hosting und V-Server. Die .htaccess-Methode ist empfohlen, da sie global für alle PHP-Scripts gilt.

Wichtig: SSL muss vorher im Strato-Kundenbereich aktiviert werden, bevor das Secure-Flag Wirkung zeigt. Ohne HTTPS ignoriert der Browser das Attribut und sendet Cookies auch über unverschlüsselte Verbindungen.

Ausführliche Einführung in Cookie-Sicherheit

Cookies auf Strato absichern

Die einfachste Methode auf Strato Shared Hosting: php_value-Direktiven in der .htaccess. Diese überschreiben die globale php.ini für Ihren Webspace. Laden Sie die Datei per FTP in das Webroot-Verzeichnis Ihres Strato-Pakets hoch. Alternativ setzen Sie die Werte direkt im PHP-Code mit ini_set().

.htaccess — Session-Cookies
.htaccess Empfohlen 
# .htaccess — PHP Session-Cookie-Einstellungen
php_value session.cookie_secure 1
php_value session.cookie_httponly 1
php_value session.cookie_samesite "Lax"
php_value session.use_strict_mode 1
php_value session.use_only_cookies 1
PHP — ini_set()
config.php Alternative 
// PHP — Session-Cookies sicher konfigurieren
<?php
// Am Anfang der Datei, vor session_start()
ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_samesite', 'Lax');
ini_set('session.use_strict_mode', 1);
ini_set('session.use_only_cookies', 1);

session_start();
?>
PHP — Eigene Cookies
setcookie.php Benutzerdefiniert 
// PHP — Eigene Cookies sicher setzen
<?php
setcookie('preferences', $value, [
    'expires'  => time() + 86400 * 30,
    'path'     => '/',
    'domain'   => '.ihre-domain.de',
    'secure'   => true,
    'httponly'  => true,
    'samesite' => 'Lax',
]);
?>
Strato V-Server mit Root-Zugriff

Auf einem Strato V-Server bearbeiten Sie die php.ini direkt unter /etc/php/8.x/apache2/php.ini oder /etc/php/8.x/fpm/php.ini. Setzen Sie dort die gleichen Werte wie in der .htaccess — diese gelten dann global für alle PHP-Anwendungen auf dem Server.

Testen Sie die Cookie-Konfiguration nach jeder Änderung gründlich. Falsch konfigurierte Session-Cookies können dazu führen, dass Logins und Warenkörbe nicht mehr funktionieren. Prüfen Sie im Browser, ob das PHPSESSID-Cookie alle drei Attribute enthält.

Verifizierung

Prüfen Sie die Cookie-Attribute mit curl oder den Browser DevTools (Tab „Application" > „Cookies"). Achten Sie darauf, dass Secure, HttpOnly und SameSite bei jedem Session-Cookie gesetzt sind. Bei Strato kann es einige Minuten dauern, bis eine neue .htaccess wirksam wird.

Terminal Verifizierung 
# Set-Cookie-Header pruefen
curl -sI https://ihre-domain.de | grep -i set-cookie

# Erwartete Ausgabe:
# Set-Cookie: PHPSESSID=...; path=/; Secure; HttpOnly; SameSite=Lax
Der Wolf-Agents Web Security Check prüft Ihre Cookie-Attribute automatisch und bewertet sie mit bis zu 15 Punkten — inklusive Secure, HttpOnly und SameSite.

Häufige Fehler bei Cookies auf Strato

php_value in .htaccess wird bei Strato ignoriert

Manche Strato-Tarife nutzen PHP-FPM statt mod_php, wodurch php_value-Direktiven in der .htaccess ignoriert werden. In diesem Fall nutzen Sie ini_set() direkt im PHP-Code am Anfang jeder Datei oder in einer zentralen config.php.

SSL nicht im Strato-Kundenbereich aktiviert

Ohne aktives SSL-Zertifikat hat das Secure-Flag keine Wirkung — der Browser sendet Cookies dann auch über HTTP. Aktivieren Sie SSL zuerst im Strato-Kundenbereich unter Domains → SSL-Verwaltung.

WordPress-Hosting: .htaccess bei Updates zurückgesetzt

Strato kann bei WordPress-Core-Updates die .htaccess überschreiben. Sichern Sie Ihre Cookie-Konfiguration und prüfen Sie nach jedem Update, ob die Attribute noch gesetzt sind. Alternativ: Cookies per Plugin oder in der wp-config.php setzen.

PHP-Version bei Strato zu alt für SameSite

Die samesite-Option in setcookie() erfordert PHP 7.3+. Ältere Versionen ignorieren den Parameter. Aktualisieren Sie die PHP-Version im Strato-Kundenbereich unter PHP-Version auf mindestens PHP 8.0.

Compliance-Relevanz

Sichere Cookie-Konfiguration ist ein Grundbaustein für den Schutz personenbezogener Daten und Session-Integrität. Auch auf Strato Shared Hosting liegt die Verantwortung für die Cookie-Konfiguration beim Website-Betreiber.

NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
DSGVOArt. 32 — Sicherheit der Verarbeitung, Schutz personenbezogener Daten in Cookies
BSIAPP.3.1 — Webserver-Absicherung, sichere Session-Verwaltung

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei Sichere Cookies?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo