Ścisłe zabezpieczenia transportu HTTP (HSTS) to mechanizm polityki bezpieczeństwa sieci zaprojektowany w celu ochrony witryn HTTPS przed atakami obniżającymi wersję i przechwytywaniem plików cookie. Serwer WWW skonfigurowany do korzystania z HSTS instruuje przeglądarki internetowe (lub inne oprogramowanie klienckie), aby używały tylko połączeń HTTPS i nie zezwala na używanie protokołu HTTP.
Ta instrukcja nazywa się „Polityką HSTS” i jest wysyłana do klienta jako część początkowego żądania połączenia przy użyciu pola nagłówka odpowiedzi HTTP (Strict-Transport-Security
). Zasady HSTS serwera określają, jak długo instrukcje powinny być buforowane przez klienta i czy subdomeny mają również używać tylko protokołu HTTPS.
HSTS jest stałą częścią protokołu HTTPS i określoną w RFC 6797.