HTTP Public Key Pinning (HPKP hay PKP) là một cơ chế bảo mật được mô tả trong IETF RFC-7469 [1], mà các quản trị web có thể thiết lập thông qua tiêu đề HTTP trên các trang web HTTPS để chống lại những kẻ tấn công mạo danh bằng cách sử dụng chứng thực phát hành sai hoặc giả mạo. Để làm được điều này, khi người dùng kết nối tới trang web lần đầu, tiêu đề PKP sẽ cho trình duyệt của người dùng tải xuống danh sách các key công khai được tạo ra dựa trên chứng chỉ HTTPS của trang web. Khi người dùng trở lại trang web, trình duyệt sẽ lấy một trong các key đó và xác minh xem nó có phù hợp với chứng chỉ HTTPS hiện tại của trang web hay không. Nếu một kẻ tấn công cố giả mạo tên miền hợp pháp và đang sử dụng một chứng chỉ HTTPS hợp lệ, các key PKP sẽ không khớp và trình duyệt sẽ chặn người dùng xem trang web, cho rằng đó là kẻ lừa đảo hoặc giả mạo độc hại khác. [2] [3]