HTTP streng transport sikkerhed (HSTS) er en websikkerhedspolitisk mekanisme designet til at beskytte HTTPS-websteder mod nedgraderingsangreb og kapring af cookies. En webserver, der er konfigureret til at bruge HSTS, instruerer webbrowsere (eller anden klientsoftware) til kun at bruge HTTPS-forbindelser og tillader ikke brug af HTTP-protokollen.
Denne instruktion kaldes "HSTS-politikken" og sendes til klienten som en del af den oprindelige anmodning om en forbindelse ved hjælp af et HTTP-svarhovedfelt (Strict-Transport-Security
). En servers HSTS-politik inkluderer, hvor længe instruktionerne skal caches af klienten, og hvis underdomæner kun skal bruge HTTPS.
HSTS er en permanent del af HTTPS-protokollen og specificeret i RFC 6797.