HTTP streng transport sikkerhet (HSTS) er en mekanisme for websikkerhetspolitikk designet for å beskytte HTTPS-nettsteder mot nedgraderingsangrep og kapring av informasjonskapsler. En webserver konfigurert til å bruke HSTS instruerer nettlesere (eller annen klientprogramvare) til å bruke bare HTTPS-tilkoblinger og tillater ikke bruk av HTTP-protokollen.
Denne instruksjonen kalles “HSTS-policyen” og sendes til klienten som en del av den første forespørselen om en tilkobling ved hjelp av et HTTP-svarhode-felt (Strict-Transport-Security). Serverens HSTS-policy inkluderer hvor lenge instruksjonene skal caches av klienten, og om underdomener bare skal bruke HTTPS.
HSTS er en permanent del av HTTPS-protokollen og spesifisert i RFC 6797.
