HTTP Strikt transportsäkerhet (HSTS) är en webbsäkerhetspolitisk mekanism som är utformad för att skydda HTTPS-webbplatser mot nedgradering av attacker och kapning av kakor. En webbserver som är konfigurerad för att använda HSTS instruerar webbläsare (eller annan klientprogramvara) att endast använda HTTPS-anslutningar och tillåter inte användning av HTTP-protokollet.
Denna instruktion kallas ”HSTS-policy” och skickas till klienten som en del av den ursprungliga begäran om en anslutning med hjälp av ett HTTP-svarsrubrikfält (Strict-Transport-Security). En servers HSTS-policy inkluderar hur länge instruktionerna ska cachas av klienten och om underdomäner endast ska använda HTTPS.
HSTS är en permanent del av HTTPS-protokollet och anges i RFC 6797.
