POST AI agent ready /v1/security/grade

Security Headers Grade API - A-F Rating for Any URL

Fetches the target URL and evaluates 6 security headers: Strict-Transport-Security (25pts), Content-Security-Policy (25pts), X-Content-Type-Options (15pts), X-Frame-Options (10pts), Referrer-Policy (15pts), and Permissions-Policy (10pts). 返回总分（满分 100 分）、字母等级、每个标题的细分以及针对缺失标题的建议。

Endpoint

Code examples

curl -X POST https://api.botoi.com/v1/security/grade \
  -H "Content-Type: application/json" \
  -d '{"url":"https://stripe.com"}'

When to use this API

CI/CD 安全门

将安全标头检查添加到您的部署管道。如果等级降至 B 以下，则构建失败，从而防止配置回归达到生产。

安全态势仪表板

对公司的所有域名进行批量评分并跟踪一段时间内的分数。缺少 HSTS 或 CSP 标头的表面域，供安全团队确定优先级。

客户安全审核

Include security header grades in client deliverables. Grade the client's domain before and after your recommendations to show measurable improvement.

Frequently asked questions

分级检查哪些标题？

Six headers: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, and Permissions-Policy. 每个都有一个基于安全影响的加权分值。

字母等级是如何计算的？

分数是所有 6 个标题的总分（最多 100 分）。 A+ = 95+, A = 85+, B = 70+, C = 55+, D = 40+, F = below 40. HSTS gets bonus points for includeSubDomains and preload directives.

这会检查实际的 TLS 证书吗？

No. This endpoint grades HTTP response headers only. For TLS certificate inspection, use the /v1/ssl-cert/certificate endpoint.

我可以在身份验证后对 URL 进行评分吗？

端点以公共访问者身份获取 URL，无需 cookie 或身份验证令牌。如果 URL 需要登录，则等级反映登录页面的标题，而不是经过身份验证的内容。

Why does my site score 0 on Content-Security-Policy?

端点检查 CSP 标头是否存在。如果您的服务器未发送，则该类别的分数为 0。许多站点省略 CSP，因为它需要仔细配置以避免破坏脚本和样式。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.