POST AI agent ready /v1/security/grade

API уровня заголовков безопасности – рейтинг AF для любого URL-адреса

Получает целевой URL-адрес и оценивает 6 заголовков безопасности: Strict-Transport-Security (25 баллов), Content-Security-Policy (25 баллов), X-Content-Type-Options (15 баллов), X-Frame-Options (10 баллов), Referrer-Policy (15 баллов) и Permissions-Policy (10 баллов). Возвращает общую оценку из 100, буквенную оценку, разбивку по заголовкам и рекомендации по отсутствующим заголовкам.

Endpoint

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

Ворота безопасности CI/CD

Добавьте проверку заголовка безопасности в конвейер развертывания. Завершите сборку неудачно, если оценка упадет ниже B, что предотвратит попадание регрессий конфигурации в рабочую среду.

Панели мониторинга состояния безопасности

Проведите пакетную оценку всех доменов вашей компании и отслеживайте результаты с течением времени. Поверхностные домены с отсутствующими заголовками HSTS или CSP для определения приоритетов командой безопасности.

Аудит безопасности клиентов

Включите уровни заголовка безопасности в результаты работы клиента. Оцените домен клиента до и после ваших рекомендаций, чтобы продемонстрировать измеримые улучшения.

Frequently asked questions

По каким заголовкам проверяется оценка?

Шесть заголовков: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy и Permissions-Policy. Каждый из них имеет взвешенное значение в баллах, основанное на влиянии на безопасность.

Как рассчитывается буквенная оценка?

Очки суммируются со всех 6 заголовков (максимум 100). A+ = 95+, A = 85+, B = 70+, C = 55+, D = 40+, F = ниже 40. HSTS получает бонусные баллы за директивы includeSubDomains и предварительной загрузки.

Проверяется ли это действительный сертификат TLS?

Нет. Эта конечная точка оценивает только заголовки ответов HTTP. Для проверки сертификата TLS используйте конечную точку /v1/ssl-cert/certificate.

Могу ли я оценивать URL-адреса после аутентификации?

Конечная точка получает URL-адрес как общедоступный посетитель без файлов cookie или токенов аутентификации. Если URL-адрес требует входа в систему, оценка отражает заголовки страницы входа, а не проверенное содержимое.

Почему мой сайт получил 0 баллов по политике безопасности контента?

Конечная точка проверяет наличие заголовка CSP. Если ваш сервер не отправляет его, оценка для этой категории равна 0. На многих сайтах CSP отсутствует, поскольку он требует тщательной настройки во избежание нарушения сценариев и стилей.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.