Pular para o conteúdo
POST AI agent ready /v1/security/grade

API de classificação de cabeçalhos de segurança - classificação AF para qualquer URL

Busca o URL de destino e avalia 6 cabeçalhos de segurança: Strict-Transport-Security (25pts), Content-Security-Policy (25pts), X-Content-Type-Options (15pts), X-Frame-Options (10pts), Referrer-Policy (15pts) e Permissions-Policy (10pts). Retorna uma pontuação geral de 100, nota das letras, detalhamento por cabeçalho e recomendações para cabeçalhos ausentes.

Parameters

stringrequired

The URL to grade. Must be a full URL including the protocol.

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

Portas de segurança CI/CD

Adicione uma verificação de cabeçalho de segurança ao pipeline de implantação. Falha na construção se a nota cair abaixo de B, evitando que regressões de configuração cheguem à produção.

Painéis de postura de segurança

Avalie em lote todos os domínios da sua empresa e acompanhe as pontuações ao longo do tempo. Exponha domínios com cabeçalhos HSTS ou CSP ausentes para a equipe de segurança priorizar.

Auditorias de segurança do cliente

Incluir notas de cabeçalho de segurança nas entregas do cliente. Avalie o domínio do cliente antes e depois de suas recomendações para mostrar melhorias mensuráveis.

Frequently asked questions

Quais cabeçalhos a classificação verifica?
Seis cabeçalhos: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy e Permissions-Policy. Cada um tem um valor de pontos ponderado com base no impacto na segurança.
Como a nota da letra é calculada?
Os pontos são somados de todos os 6 cabeçalhos (máximo de 100). A+ = 95+, A = 85+, B = 70+, C = 55+, D = 40+, F = abaixo de 40. HSTS ganha pontos de bônus para includeSubDomains e diretivas de pré-carregamento.
Isso verifica o certificado TLS real?
Não. Este endpoint avalia apenas cabeçalhos de resposta HTTP. Para inspeção de certificado TLS, use o endpoint /v1/ssl-cert/certificate.
Posso avaliar URLs por meio de autenticação?
O endpoint busca a URL como um visitante público, sem cookies ou tokens de autenticação. Se o URL exigir login, a nota refletirá os cabeçalhos da página de login, não o conteúdo autenticado.
Por que meu site tem pontuação 0 na Política de Segurança de Conteúdo?
O endpoint verifica a presença do cabeçalho CSP. Se o seu servidor não enviar, a pontuação será 0 para essa categoria. Muitos sites omitem o CSP porque ele requer uma configuração cuidadosa para evitar quebras de scripts e estilos.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs