HTTP Strict Transport Security (HSTS) é um mecanismo de política de segurança da web projetado para proteger sites HTTPS contra ataques de downgrade e sequestro de cookies. Um servidor da web configurado para usar HSTS instrui os navegadores da web (ou outro software cliente) a usar apenas conexões HTTPS e não permite o uso do protocolo HTTP.
Esta instrução é chamada de "Política HSTS" e é enviada ao cliente como parte da solicitação inicial de uma conexão usando um campo de cabeçalho de resposta HTTP (Strict-Transport-Security
) A política HSTS de um servidor inclui por quanto tempo as instruções devem ser armazenadas em cache pelo cliente e se os subdomínios também devem usar apenas HTTPS.
O HSTS é uma parte permanente do protocolo HTTPS e especificado em RFC 6797.