أمان النقل الصارم لـ HTTP ( HSTS )هو آلية سياسة تساعد في حماية مواقع الويب من هجمات الوسيط مثل هجمات خفض مستوى البروتوكول واختطاف ملفات تعريف الارتباط . وتسمح هذه الآلية لخوادم الويب بالإعلان أن متصفحات الويب (أو غيرها من عملاء المستخدم المتوافقين) يجب أن تتفاعل معها تلقائيًا باستخدام اتصالات HTTPS فقط، التي توفر أمان طبقة النقل (TLS/SSL)، على عكس HTTP غير الآمن المستخدم بمفرده. HSTS هو بروتوكول ضمن مسار معايير IETF ومحدد فيRFC 6797 .
يتم إرسال سياسة HSTS من الخادم إلى وكيل المستخدم عبر حقل ترويسة استجابة HTTP يُسمى Strict-Transport-Security . تُحدد سياسة HSTS فترة زمنية يَجب خِلالها على وكيل المستخدم الوصول إلى الخادم بطريقة آمنة فقط. [ 2 ] غالبًا ما لا تقبل المواقع الويب التي تستخدم HSTS النص العادي HTTP الواضح، إما عن طريق رفض الاتصالات عبر HTTP أو عن طريق إعادة توجيه المستخدمين بشكل منهجي إلى HTTPS (على الرغم من أن هذا غير مطلوب من قبل المواصفة). ونتيجة لذلك، فإن وكيل المستخدم غير القادر على تنفيذ TLS لن يَكون قَادِرًا على الاتصال بالموقع.
تنطبق الحماية فقط أن يكون المستخدم قد زار الموقع مرة واحدة على الأقل، بالاعتماد على مبدأ " الثقة عند الاستخدام الأول ". وتعمل هذه الحماية من خلال أنه عندما يُدخل المستخدم عنوان URL HTTP (وليس HTTPS) إلى الموقع أو تحديده، سيقوم العميل، مثل متصفح الويب، بالترقية تلقائيًا إلى HTTPS دون إجراء طلب HTTP، وبالتالي منع حدوث أي هجوم HTTP man-in-the-middle.