Strikte HTTP-Transportsicherheit (HSTS) ist ein Mechanismus für Web-Sicherheitsrichtlinien, der HTTPS-Websites vor Downgrade-Angriffen und Cookie-Hijacking schützt. Ein für die Verwendung von HSTS konfigurierter Webserver weist Webbrowser (oder andere Client-Software) an, nur HTTPS-Verbindungen zu verwenden, und verbietet die Verwendung des HTTP-Protokolls.
Diese Anweisung wird als "HSTS-Richtlinie" bezeichnet und als Teil der anfänglichen Anforderung für eine Verbindung unter Verwendung eines HTTP-Antwortheaderfelds an den Client gesendet (Strict-Transport-Security
). Die HSTS-Richtlinie eines Servers enthält, wie lange die Anweisungen vom Client zwischengespeichert werden sollen und ob Subdomains auch nur HTTPS verwenden sollen.
HSTS ist ein fester Bestandteil des HTTPS-Protokolls und in angegeben RFC 6797.