Aller au contenu
POST AI agent ready /v1/security/grade

API de qualité des en-têtes de sécurité - Notation A-F pour n'importe quelle URL

Récupère l'URL cible et évalue 6 en-têtes de sécurité : Strict-Transport-Security (25 pts), Content-Security-Policy (25 pts), X-Content-Type-Options (15 pts), X-Frame-Options (10 pts), Referrer-Policy (15 pts) et Permissions-Policy (10 pts). Renvoie une note globale sur 100, une note par lettre, une répartition par en-tête et des recommandations pour les en-têtes manquants.

Parameters

stringrequired

The URL to grade. Must be a full URL including the protocol.

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

Portails de sécurité CI/CD

Ajoutez une vérification d'en-tête de sécurité à votre pipeline de déploiement. Faites échouer la construction si la note descend en dessous de B, empêchant les régressions de configuration d'atteindre la production.

Tableaux de bord de posture de sécurité

Évaluez par lots tous les domaines de votre entreprise et suivez les scores au fil du temps. Faites apparaître les domaines avec des en-têtes HSTS ou CSP manquants pour que l'équipe de sécurité puisse les prioriser.

Audits de sécurité clients

Incluez les notes d’en-tête de sécurité dans les livrables du client. Notez le domaine du client avant et après vos recommandations pour montrer une amélioration mesurable.

Frequently asked questions

Quels en-têtes le classement vérifie-t-il ?
Six en-têtes : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy et Permissions-Policy. Chacun a une valeur pondérée en points basée sur l’impact sur la sécurité.
Comment est calculée la note alphabétique ?
Les points sont additionnés des 6 en-têtes (max 100). A+ = 95+, A = 85+, B = 70+, C = 55+, D = 40+, F = inférieur à 40. HSTS obtient des points bonus pour includeSubDomains et les directives de préchargement.
Cela vérifie-t-il le certificat TLS réel ?
Non. Ce point de terminaison évalue uniquement les en-têtes de réponse HTTP. Pour l’inspection du certificat TLS, utilisez le point de terminaison /v1/ssl-cert/certificate.
Puis-je noter les URL après authentification ?
Le point de terminaison récupère l'URL en tant que visiteur public sans cookies ni jetons d'authentification. Si l'URL nécessite une connexion, la note reflète les en-têtes de la page de connexion, et non le contenu authentifié.
Pourquoi mon site obtient-il un score de 0 en matière de politique de sécurité du contenu ?
Le point de terminaison vérifie la présence de l’en-tête CSP. Si votre serveur ne l'envoie pas, le score est de 0 pour cette catégorie. De nombreux sites omettent CSP car il nécessite une configuration minutieuse pour éviter de casser les scripts et les styles.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs