HTTP Strict Transport Security (HSTS) è un meccanismo di criteri di sicurezza Web progettato per proteggere i siti Web HTTPS da attacchi di downgrade e dirottamento dei cookie. Un server Web configurato per utilizzare HSTS indica ai browser Web (o altro software client) di utilizzare solo connessioni HTTPS e non consente l'utilizzo del protocollo HTTP.
Questa istruzione è chiamata "HSTS Policy" e viene inviata al client come parte della richiesta iniziale di una connessione utilizzando un campo di intestazione della risposta HTTP (Strict-Transport-Security
). La politica HSTS di un server include per quanto tempo le istruzioni devono essere memorizzate nella cache dal client e se anche i sottodomini devono utilizzare solo HTTPS.
HSTS è una parte permanente del protocollo HTTPS e specificato in RFC 6797.