Soll für statische Inhalte der sog. HSTS Header immer gesetzt werden, so können Sie dies über die .htaccess mit folgendem Eintrag setzen:
Header always set Strict-Transport-Security 'max-age=$gueltigkeitinsekunden'
Der Wert '$gueltigkeitinsekunden' muss hier dann durch eine Zahlenangabe ersetzt werden. Für eine Gültigkeit von einer Stunde kann hier dafür zum Beispiel 3600 eingetragen werden.
Für per FCGI erzeugte Inhalte (PHP, Perl, usw.) muss der Header über die eingesetzte Web Applikation gesetzt werden. Die Einstellung in der .htaccess wird für diese Inhalte nicht gesetzt.
Informationen zu HSTS finden Sie unter https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security