HTTP Strict Transport Security (HSTS) - це механізм безпеки, який дозволяє веб-сайтам вказувати веб-браузерам використовувати лише HTTPS для з’єднань з цим сайтом. Це забезпечує більш високий рівень захисту від атак, таких як зловживання середнього часу інших атак, які можуть виникати, коли з’єднання відбуваються через незахищений канал HTTP.
Основна ідея HSTS полягає в тому, щоб змусити браузери відмовлятися від з’єднань HTTP і автоматично переходити до HTTPS під час взаємодії з веб-сайтом, якщо веб-сайт підтримує HTTPS і має налаштований HSTS.
Коли браузер вперше взаємодіє з веб-сайтом, який відправляє заголовок HSTS, він запам’ятовує цей факт на певний період часу, вказаний в заголовку. Протягом цього періоду часу браузер автоматично переходитиме до HTTPS, навіть якщо користувач введе адресу сайту з префіксом “http://”. Це зменшує ризик атак, пов’язаних із зловживанням протоколу HTTP.