HTTP Strict Transport Security (HSTS) è una funzionalità molto utile per evitare OWASP a9 violazioni e attacchi come SSLStrip che provano e impediscono al client di stabilire una connessione sicura. Questa tecnologia tuttavia non è nelle versioni precedenti dei browser Web (in particolare IE). A giugno 2015 Microsoft finalmente ha aggiunto il supporto per HTTP Strict Transport Security a IE 11 su Windows 7, 8.1 e 10. Supporta anche Microsoft Edge. Entrambi eseguiranno il pre-caricamento di HSTS per i siti presenti nell'elenco di pre-caricamento di Chromium. Tuttavia, non tutti gli utenti utilizzano gli ultimi browser Web.
Quindi, come proteggi gli utenti con i browser che non supportano l'HSTS? Qual è il "migliore" livello di sicurezza del trasporto che un'applicazione web può fornire nonostante l'offerta di contenuti a un client non protetto?
(chiedi a Tylerl di far apparire questa domanda).