Hallo oxo888oxo,

Ist es denn sinnvoll, dass beides zu haben?

Ja.

HSTS ohne Redirect bedeutet, dass Du auf http Requests nicht mehr antworten darfst. Wenn Dich also jemand mit http aufruft, gibt es eine Fehlermeldung.

Der Redirect wird bei jedem irrtümlichen http Request ausgeführt. Mit HSTS sagst Du dem Browser, dass er das in Zukunft unterlassen soll und direkt auf https umschaltet, egal ob der User das angibt oder nicht.

Du solltest dann auch noch aus deinen Cookies Hartkekse machen, so dass sie bei einem initialen http Request nicht ausgeliefert werden. Aber ich glaube, das Thema hatten wir in einem anderen Thread schon.

Rolf