HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme om websites te beschermen tegen zogeheten 'downgrade attacks'. Zonder HSTS is het namelijk mogelijk om HTTP en HTTPS door elkaar te gebruiken, ook wanneer HTTPS werd geforceerd. Vaak gaat dit mis bij cookies, die dan dus onbeschermd zijn.

Door gebruik te maken van HSTS wordt de webbrowser verplicht om de website alleen via het HTTPS-protocol te serveren. Zo voorkomt u 'cookie hijacking', een vorm van hacken waarbij een browsersessie door kwaadwilligen wordt overgenomen.

Om HSTS te forceren plaatst u onderstaande regel bovenaan het .htaccess-bestand van uw website:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Wil u HSTS ook op subdomeinen forceren? Gebruik dan onderstaande code:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS

N.B.: Voor het gebruik van HSTS moet een SSL-certificaat op de domeinnaam geïnstalleerd zijn.