HTTP Strict Transport Security (HSTS) je vlastnost webové stránky sdělit prohlížeči, že má se serverem komunikovat pouze přes zabezpečený protokol HTTPS a nikdy pomocí nezabezpečeného HTTP. Tímto nastavením je řešena zejména situace, kdy je uživatel přesměrováván z protokolu HTTP na zabezpečený HTTPS a právě v tomto okamžiku může být útočníkem přesměrován na stránku s podvrženýnm obsahem. HSTS je realizována HTTP záhlavím, která prohlížeči říká, že má používat pouze HTTPS a jak dlouho.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
   <system.webServer>
      <rewrite>
          <rules>
              <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                  <match url="(.*)" />
                  <conditions>
                      <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                  </conditions>
                  <action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
                      redirectType="Permanent" />
              </rule>
          </rules>
          <outboundRules>
              <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                  <match serverVariable="RESPONSE_Strict_Transport_Security"
                      pattern=".*" />
                  <conditions>
                      <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                  </conditions>
                  <action type="Rewrite" value="max-age=63072000; includeSubDomains; preload" />
              </rule>
          </outboundRules>
      </rewrite>
   </system.webServer>
</configuration>

Implementace HSTS na IIS v. 7/8 se realizuje přidáním specifických záhlaví, volitelně s přesměrováním.

Přidání záhlaví:

• Spusťte správce služby IIS.
• Vyberte svůj web
• Vyberte HTTP Response Headers
• V části Actions klikněte na Add
• V dialogu Add Custom HTTP Response Header přidejte následující hodnoty:
  • Jméno: Strict-Transport-Security
  • Hodnota: max-age=15552001; includeSubDomains; preload