HSTS oder HTTP Strict Transport Security ist ein Mechanismus, der Website-Besucher schützt, indem sichergestellt wird, dass Browser immer HTTPS für die Verbindung verwenden. Der Response-Header Strict-Transport-Security weist Browser an, nur HTTPS für den Zugriff auf eine Website zu verwenden und HTTP für alle nachfolgenden Verbindungen für die festgelegte Zeitspanne, z. B. ein Jahr, zu vermeiden.
HSTS verringert die Erfolgsaussichten Man-in-the-Middle-Angriffe indem Umleitungen von HTTP zu HTTPS übersprungen werden. Selbst wenn ein Besucher versucht, über HTTP auf eine Website zuzugreifen, weist HSTS den Browser an, HTTPS für die Interaktion zu verwenden.