POST AI agent ready /v1/security/grade

セキュリティヘッダーグレード API - あらゆる URL に対する A ～ F 評価

ターゲット URL を取得し、6 つのセキュリティヘッダー: Strict-Transport-Security (25 ポイント)、Content-Security-Policy (25 ポイント)、X-Content-Type-Options (15 ポイント)、X-Frame-Options (10 ポイント)、Referrer-Policy (15 ポイント)、および Permissions-Policy (10 ポイント) を評価します。 100 点満点の全体スコア、レターグレード、ヘッダーごとの内訳、欠落しているヘッダーの推奨事項を返します。

Endpoint

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

CI/CDセキュリティゲート

デプロイメントパイプラインにセキュリティヘッダーチェックを追加します。グレードが B を下回った場合、ビルドは失敗し、構成のリグレッションが運用環境に到達するのを防ぎます。

セキュリティ体制ダッシュボード

会社のすべてのドメインをバッチ評価し、長期にわたってスコアを追跡します。セキュリティチームが優先順位を付けるために、HSTS ヘッダーまたは CSP ヘッダーが欠落しているドメインを表示します。

クライアントのセキュリティ監査

クライアントの成果物にセキュリティヘッダーグレードを含めます。推奨事項の前後でクライアントのドメインを評価し、目に見える改善を示します。

Frequently asked questions

グレーディングではどのヘッダーがチェックされますか?

6 つのヘッダー: Strict-Transport-Security (HSTS)、Content-Security-Policy (CSP)、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、および Permissions-Policy。それぞれに、セキュリティへの影響に基づいて重み付けされたポイント値があります。

レターグレードはどのように計算されますか?

ポイントは 6 つのヘッダーすべてから合計されます (最大 100)。 A+ = 95+、A = 85+、B = 70+、C = 55+、D = 40+、F = 40 未満。HSTS は、includeSubDomains と preload ディレクティブに対してボーナスポイントを獲得します。

これは実際の TLS 証明書をチェックしますか?

いいえ。このエンドポイントは HTTP 応答ヘッダーのみを評価します。 TLS 証明書検査の場合は、/v1/ssl-cert/certificate エンドポイントを使用します。

認証の背後で URL を評価できますか?

エンドポイントは、Cookie や認証トークンを持たないパブリック訪問者として URL を取得します。 URL にログインが必要な場合、グレードには認証されたコンテンツではなく、ログインページのヘッダーが反映されます。

私のサイトの Content-Security-Policy のスコアが 0 なのはなぜですか?

エンドポイントは CSP ヘッダーの存在を確認します。サーバーがそれを送信しない場合、そのカテゴリのスコアは 0 になります。多くのサイトでは CSP を省略しています。これは、スクリプトやスタイルの破損を避けるために慎重な構成が必要なためです。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.