Ja, den CSP Header müsste ich nach weiteren Tests noch anpassen, sobald es läuft. Den habe ich erstmal wieder als Kommentar gesetzt.
Ich habe gerade in Erfahrung gebracht, dass mein Hoster den HTSTS automatisch setzt, sobald mit https gearbeitet wird. Vielleicht führt die doppelte Angabe zu meinen Problemen. Allerdindgs hatte ich den bei meinen ersten Versuchen gar nicht verwendet, da er bereits bei der Analyse angezeigt wurde. Ich habe mir da jetzt mal ein Ticket geholt. Mal schauen, was mein Hoster meint.
Bisher habe ich erreicht, dass für folgende Varianten die Header gesetzt werden können:
http: // example.com
https: // example.com
http: // www.example.com
Alle Varianten leiten zur https: // www.example.com weiter, wo dann keine Header außer HSTS gefunden werden können, obwohl gesetzt.
1.) Im Verzeichnis, auf das die Domain gestellt ist, existiert das Problem nicht.
2.) Im Verzeichnis, auf das die www-Subdomain gestellt ist, liegt die .htaccess, welche oben das Setzen der Header enthält und darunter die http->https-Weiterleitung. Ich vermute auch, dass es irgendein Problem mit der Reihenfolge sein könnte.
EDIT: Müssen die Headers nicht oberhalb von "RewriteEngine On" stehen?