Sécurité de transport stricte HTTP (HSTS) est un mécanisme de politique de sécurité Web conçu pour protéger les sites Web HTTPS contre les attaques de rétrogradation et le détournement de cookies. Un serveur Web configuré pour utiliser HSTS indique aux navigateurs Web (ou à un autre logiciel client) de n'utiliser que les connexions HTTPS et interdit l'utilisation du protocole HTTP.
Cette instruction est appelée «politique HSTS» et est envoyée au client dans le cadre de la demande initiale de connexion à l'aide d'un champ d'en-tête de réponse HTTP (Strict-Transport-Security). La politique HSTS d'un serveur inclut la durée pendant laquelle les instructions doivent être mises en cache par le client et si les sous-domaines doivent également utiliser HTTPS uniquement.
HSTS est une partie permanente du protocole HTTPS et spécifié dans RFC 6797.
