Beiträge von Geiao

Zitat von maxbachmann

Ja das hatte ich auch gelesen und kam nicht darauf warum es nicht funktioniert. Ich bin natürlich mit IOS 9 auch nicht unbedingt auf dem neusten Stand. Macht das denn irgendeinenn Sinn wenn man doch überall https einsetzt? Dann gibt es doch keine entsprechenden http Verbindungen mehr oder?

Ob HTTP oder HTTPS sollte bei der Option keinen Unterschied machen bzw. für beides gelten, da HTTPS auch TCP/IP nutzt. Also auch für HTTPS sollte es theoretisch was bringen.

Mehr dazu hier: https://blog.insightdatascienc…alive-header-7ebe0efa209d

Der Connection HEader wird aber seit HTTP/1.1 per default auf keep-alive gesetzt und nur bei HTTP/1.0 ist per default 'close' gesetzt.

Zitat von maxbachmann

Oh habe deine Antwort erst danach gesehen. Habe bei mir jetzt gerade nicht : sondern auch " " um die Parameter gesetzt. Kenne mich da nicht aus aber scheint wohl auch zu gehen. Eine Frage hätte ich allerdings noch. Was genau macht dieses Connection: keep-alive? Hatte das anfangs auch gesetzt. Am PC gab es keine Probleme, Am Handy (Iphone 4s also recht alt) hat die Seite dann allerdings nicht mehr geladen. Nachdem ich das das erste Mal mache habe ich bei den Einstellungen einfach die Ratschläge von Mozilla Observatory befolgt

Zumindest schreibt PLESK das die Doppelpunkte hin sollten. Die Anführungszeichen mache ich bei Werten mit Leezeichen etc. sicherheitshalber auch hin.

Ah die Seite kannte ich noch nicht! Ist sehr informativ. Danke für den Link.

Connection Header spezifiziert ob HTTP Verbindungen wiederverwendet werden sollen. Auf keep-alive wird diese wiederverwendet, was eine gesteigerte Performance bringen soll. Hier mehr dazu https://developer.mozilla.org/…b/HTTP/Headers/Connection

Probleme hatte ich damit eigtl. noch nicht.

Hier noch mal meine Einstellungen:

1. Habe folgendes unter Hosting-Einstellungen aktiviert.

-SSL/TLS-Unterstützung

-Dauerhafte, für SEO geeignete 301-Weiterleitung von HTTP zu HTTPS

2. .htaccess kann man getrost leer lassen / weg lassen. Durch nginx als reverse Proxy nimmt nginx den Request entgegen und alle manuellen Verbindungseinstellungen in der htaccess werden nicht weitergegeben zum Client.

3. 1.png

4. 2.png

Wichtig ist hier bei zusätzlichen Headern die andere Syntax: [KEY]:[VALUE]

5. Testen via https://www.ssllabs.com/ssltest/ => A+ / HSTS grün => alles ok!

Wichtig ist bei nach allem nach dem Speichern wirklich 5 Minuten zu warten, da der Webserver einige Zeit braucht. Browser verfälschen auch gerne das Ergebnis, wenn Sachen cached werden.=> Entwicklerkonsole auf machen und in den Optionen "HTTP Cache deaktivieren" (geht in Chrome und FIrefox). Firefox zeigt auch bei jedem Request im Netzwerkreiter unter Sicherheit an ob HSTS aktiv ist.

Habe nun eine zurfriedenstellende Lösung gefunden. Über die manuellen PLESK Settings für Apache werde auch die Header von nginx gesetzt sodass folgendes unter MIME-Typen:

'text/html; charset=UTF-8' .html
'text/javascript; charset=UTF-8' .js
'text/css; charset=UTF-8' .css
'application/manifest+json; charset=UTF-8' .json
application/font-woff2 .woff2
application/font-woff .woff
image/jpeg .jpeg .jpg .jpe

und folgendes unter zusätzliche Header:

Connection: keep-alive
X-Content-Type-Options: nosniff
Referrer-Policy: "origin-when-cross-origin"
Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"

dazuführt, dass HSTS aktiv ist und die weiteren Header auch gesetzt werden. Diese Sache habe ich nun zusätzlich zur .htaccess auch nun dort eingefügt.

Header entfernen oder alle Cookies per default darüber auf Secure setzen, habe ich bisher nicht geschafft. Erstes geht vermutlich ohne Eingriffe in die ngix config nicht.

Zitat von Geiao

Eine andere Option wäre noch über die Einstellung "Statische Dateien direkt durch nginx bedienen" einfach einen entrag mit "xxx" (leerer Eintrag geht nicht) zu machen und somit alle anderen Dateien vom Apache bedienen zu lassen. Was meint ihr?

Das funktioniert leider doch nicht wie gewünscht. Da hatte der Browser noch was im Cache bzw. der Webserver hatte die EInstellungen noch nicht neu geladen.

Zitat von killerbees19

Mach zum Test die Gegenprobe: Schreibe eine Problemzeile einmal direkt ohne IfModule rundherum rein. Wenn der Befehl nicht erlaubt ist, wirst Du einen HTTP Error auslösen und eventuell im Errorlog mehr Details finden.

Habe heute morgen mal intensiv rumgetestet. Also an der .htaccess liegt es nicht. Wenn ich alle IfModule entferne, klappt noch alles.

Die Ursache, warum einige Sachen nicht gesetzt werden bzw. beim Browser ankommen ist der Reverse Proxy. Also die Kombination aus nginx und Apache. Dernginx scheint einige HTTP Header vom Apache zu entfernen.

Wenn ich die Option:

"Intelligente Bearbeitung statischer Dateien: Wenn ausgeschaltet, werden alle Abfragen statischer Dateien von Apache bearbeitet. Nginx wird Abfragen und Antworten dann ohne Modifikation weitergeben. Schalten Sie diese Option bitte nur zur Problembehebung aus."

ausschalte werden die Header alle gesetzt (auch HSTS).

Wenn ich Apache mit der Option:

"Proxymodus: Nginx leitet Anfragen über Proxys an Apache weiter. Deaktivieren, um Apache nicht mehr zu verwenden."
wird auch kein HSTS gesetzt (da natürlich keine .htaccess und Apache mehr läuft).

Die erst genannte Option sollte man ja eigtl. nicht ausschalten. Aber warum? Mir wäre HSTS und andere Header wichtiger, als die Performance durch ein nginx Caching. Kann man nginx komplett abschalten bzw. den Apache und nginx so konfigurieren wie den Apache?

Eine andere Option wäre noch über die Einstellung "Statische Dateien direkt durch nginx bedienen" einfach einen entrag mit "xxx" (leerer Eintrag geht nicht) zu machen und somit alle anderen Dateien vom Apache bedienen zu lassen. Was meint ihr?

Hallo zusammen,

ich habe bein einem "Bestprice Classic"-Tarif eine eigene .htaccess im Webroot. Diese funktioniert grundsätzlich auch. Die 404 Fehlerseite wird bspw. aufgerufen. Nur habe ich das Gefühl, dass so einige Parameter nicht genommen werden / nicht aktiviert werden. Bspw. ist HSTS nicht aktiv, obwohl spezifiziert.

Kann jemand über meine .htaccess drüber schauen und sagen, ob ich eine Fehler habe?

Ich habe auch die Vermutung, das nicht alle Parameter im Webhosting-Tarif freigeschaltet sind. Gibt es da eine Auflistung?

# Deflate compression
<IfModule mod_deflate.c>
    AddOutputFilterByType DEFLATE text/plain
    AddOutputFilterByType DEFLATE text/html
    AddOutputFilterByType DEFLATE text/xml
    AddOutputFilterByType DEFLATE text/css
    AddOutputFilterByType DEFLATE application/xml
    AddOutputFilterByType DEFLATE application/xhtml+xml
    AddOutputFilterByType DEFLATE application/rss+xml
    AddOutputFilterByType DEFLATE application/javascript
    AddOutputFilterByType DEFLATE application/x-javascript
    <files *.min.js>
        SetOutputFilter DEFLATE
    </files>
</IfModule>

# Caching
<IfModule mod_expires.c>
    FileETag MTime Size
    ExpiresActive On
    ExpiresByType text/css "access plus 4 months"
    ExpiresByType application/javascript "access plus 4 months"
    ExpiresByType application/x-javascript "access plus 4 months"
    ExpiresByType text/javascript "access plus 4 months"
    ExpiresByType image/gif "access plus 4 months"
    ExpiresByType image/jpeg "access plus 4 months"
    ExpiresByType image/png "access plus 4 months"
    ExpiresByType image/x-icon "access plus 4 months"
</IfModule>

# Extra Security Headers
<IfModule mod_headers.c>
    Header set Connection keep-alive
    Header set X-Content-Type-Options nosniff
    Header always edit Set-Cookie (.*) "$1; HttpOnly; Secure"
    Header set Referrer-Policy "origin-when-cross-origin"
    Header unset Server
    Header always unset X-Powered-By
    Header unset X-Powered-By
    Header unset X-CF-Powered-By
    Header unset X-Mod-Pagespeed
    Header unset X-Pingback
    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>

# Mime types
<IfModule mod_mime.c>
    AddType 'text/html; charset=UTF-8' html
    AddType 'text/javascript; charset=UTF-8' js
    AddType 'text/css; charset=UTF-8' css
    AddType 'application/manifest+json; charset=UTF-8' json
    AddType application/font-woff2 woff2
    AddType application/font-woff woff
    AddType image/jpeg jpeg jpg jpe
</IfModule>

# X-UA-Compatible
<FilesMatch "\.(htm|html|php)$">
    <IfModule mod_headers.c>
        Header set X-UA-Compatible "ie=edge"
    </IfModule>
</FilesMatch>

# 404 error page
ErrorDocument 404 /404.html

Das Wiki auf Seite https://www.netcup-wiki.de/wiki/Htaccess ist nicht sehr hilfreich. Über das WCP kann man auch .htaccess Parameter setzen, doch verwirrt mich das mehr als es hilft. Ich weiß bspw. nicht wo was da reinkopiert werden soll.

Gruß