Aufrufe von header() müssen vor allen anderen Ausgaben an den Client erfolgen. Es spielt keine Rolle, ob die Ausgabe durch einen HTML-Bereich vor dem Script oder durch das PHP-Script selbst entsteht. Dabei reicht als "HTML-Bereich" z. B. bereits ein einziges Leerzeichen vor dem öffnenden PHP-Tag ("<?php").
Siehe auch ""Warning: Cannot send session cookie - headers already sent ..."".