HTTP Strict Transport Security (HSTS) adalah mekanisme kebijakan keamanan web yang dirancang untuk melindungi situs web HTTPS dari serangan downgrade dan pembajakan cookie. Server web yang dikonfigurasi untuk menggunakan HSTS menginstruksikan browser web (atau perangkat lunak klien lainnya) untuk hanya menggunakan koneksi HTTPS dan melarang penggunaan protokol HTTP.
Instruksi ini disebut "Kebijakan HSTS" dan dikirim ke klien sebagai bagian dari permintaan awal untuk koneksi menggunakan bidang header respons HTTP (Strict-Transport-Security
). Kebijakan HSTS server mencakup berapa lama instruksi harus di-cache oleh klien dan apakah subdomain juga hanya menggunakan HTTPS.
HSTS adalah bagian permanen dari protokol HTTPS dan ditentukan dalam RFC 6797.