Zum Inhalt springen
POST AI agent ready /v1/security/grade

Sicherheits-Header-Grade-API – A-F-Bewertung für jede URL

Ruft die Ziel-URL ab und wertet 6 Sicherheitsheader aus: Strict-Transport-Security (25 Punkte), Content-Security-Policy (25 Punkte), X-Content-Type-Options (15 Punkte), X-Frame-Options (10 Punkte), Referrer-Policy (15 Punkte) und Permissions-Policy (10 Punkte). Gibt eine Gesamtpunktzahl von 100, eine Buchstabenbewertung, eine Aufschlüsselung pro Kopfzeile und Empfehlungen für fehlende Kopfzeilen zurück.

Parameters

stringrequired

The URL to grade. Must be a full URL including the protocol.

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

CI/CD-Sicherheitstore

Fügen Sie Ihrer Bereitstellungspipeline eine Sicherheitsheaderprüfung hinzu. Der Build schlägt fehl, wenn die Note unter B fällt, wodurch verhindert wird, dass Konfigurationsregressionen die Produktion erreichen.

Dashboards zur Sicherheitslage

Bewerten Sie alle Domänen Ihres Unternehmens stapelweise und verfolgen Sie die Ergebnisse im Laufe der Zeit. Entdecken Sie Domänen mit fehlenden HSTS- oder CSP-Headern, die das Sicherheitsteam priorisieren muss.

Client-Sicherheitsaudits

Beziehen Sie Sicherheits-Header-Klassen in die für den Kunden zu erbringenden Leistungen ein. Bewerten Sie die Domäne des Kunden vor und nach Ihren Empfehlungen, um messbare Verbesserungen anzuzeigen.

Frequently asked questions

Welche Überschriften werden bei der Benotung geprüft?
Sechs Header: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Permissions-Policy. Jeder hat einen gewichteten Punktwert, der auf der Sicherheitsauswirkung basiert.
Wie wird die Buchstabennote berechnet?
Die Punkte werden aus allen 6 Überschriften summiert (maximal 100). A+ = 95+, A = 85+, B = 70+, C = 55+, D = 40+, F = unter 40. HSTS erhält Bonuspunkte für includeSubDomains und Preload-Anweisungen.
Überprüft dies das tatsächliche TLS-Zertifikat?
Nein. Dieser Endpunkt bewertet nur HTTP-Antwortheader. Verwenden Sie für die TLS-Zertifikatsprüfung den Endpunkt /v1/ssl-cert/certificate.
Kann ich URLs hinter der Authentifizierung bewerten?
Der Endpunkt ruft die URL als öffentlicher Besucher ohne Cookies oder Authentifizierungstoken ab. Wenn für die URL eine Anmeldung erforderlich ist, spiegelt die Bewertung die Kopfzeilen der Anmeldeseite wider, nicht den authentifizierten Inhalt.
Warum erhält meine Website bei der Inhaltssicherheitsrichtlinie die Note 0?
Der Endpunkt prüft, ob der CSP-Header vorhanden ist. Wenn Ihr Server es nicht sendet, ist die Punktzahl für diese Kategorie 0. Viele Websites verzichten auf CSP, da es eine sorgfältige Konfiguration erfordert, um zu verhindern, dass Skripte und Stile beschädigt werden.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs