HTTP Strikte transportbeveiliging (HSTS) is een beleidsmechanisme voor webbeveiliging dat is ontworpen om HTTPS-websites te beschermen tegen downgrade-aanvallen en het kapen van cookies. Een webserver die is geconfigureerd om HSTS te gebruiken, instrueert webbrowsers (of andere clientsoftware) om alleen HTTPS-verbindingen te gebruiken en staat het gebruik van het HTTP-protocol niet toe.
Deze instructie wordt het "HSTS-beleid" genoemd en wordt naar de client gestuurd als onderdeel van het eerste verzoek om een verbinding met behulp van een HTTP-antwoordkopveld (Strict-Transport-Security). Het HSTS-beleid van een server omvat hoe lang de instructies door de client in de cache moeten worden bewaard en of subdomeinen ook alleen HTTPS mogen gebruiken.
HSTS is een permanent onderdeel van het HTTPS-protocol en gespecificeerd in RFC 6797.
