HSTS, ou HTTP Strict Transport Security, est un mécanisme qui protège les visiteurs du site Web en garantissant que les navigateurs utilisent toujours HTTPS pour la connexion. L'en-tête de réponse Strict-Transport-Security indique aux navigateurs de n'utiliser HTTPS que pour accéder à un site Web et d'éviter HTTP pour toute connexion ultérieure pendant la durée définie, par exemple, un an.
HSTS réduit les chances de succès attaques de l'homme du milieu en sautant les redirections de HTTP vers HTTPS. Même si un visiteur essaie d'accéder à un site Web via HTTP, HSTS demande au navigateur d'utiliser HTTPS pour l'interaction.
