Seguridad de transporte estricta HTTP (HSTS) es un mecanismo de política de seguridad web diseñado para proteger los sitios web HTTPS contra ataques de degradación y secuestro de cookies. Un servidor web configurado para utilizar HSTS indica a los navegadores web (u otro software cliente) que utilicen solo conexiones HTTPS y no permite el uso del protocolo HTTP.
Esta instrucción se denomina "Política HSTS" y se envía al cliente como parte de la solicitud inicial de conexión mediante un campo de encabezado de respuesta HTTP (Strict-Transport-Security
). La política HSTS de un servidor incluye cuánto tiempo el cliente debe almacenar en caché las instrucciones y si los subdominios también deben usar HTTPS únicamente.
HSTS es una parte permanente del protocolo HTTPS y se especifica en RFC 6797.