Header werden je nach Webseiten Element unterschiedlich gesetzt.
Üblicherweise werden Header über die .htaccess für z. B. statische Elemente direkt über den Webserver gesetzt. Als Beispiel mit HSTS:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Sofern jedoch CGI Skripte ausgeführt werden, überschreiben diese die gesetzten Header des Webservers. Die Header müssen dann durch die jeweiligen CGI Skripte gesetzt werden. Für PHP Skripte kann das dann wie folgt aussehen:
<?php
header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
Wir empfehlen dabei eine neue Datei zu nutzen und diese über die php.ini einzulesen:
auto_prepend_file="/path/to/file.php"