#web

Rufen Sie die ads.txt / app-ads.txt eines beliebigen Publishers ab und werten Sie sie aus – der IAB-Standard für autorisierte digitale Verkäufer. Übergeben Sie eine Domain und der Check-Endpunkt ruft deren ads.txt serverseitig ab und gibt dann jeden Seller-Eintrag in seine Felder aufgeschlüsselt zurück – Werbesystem, die Publisher-ID des Verkäufers/Kontos, die DIRECT- oder RESELLER-Beziehung und die optionale Zertifizierungsstellen-ID (TAG-ID) – zusammen mit Zählungen (direkt, Wiederverkäufer, verschiedene Werbesysteme) und den deklarierten Variablen OWNERDOMAIN, MANAGERDOMAIN, CONTACT und SUBDOMAINS. Der Verify-Endpunkt beantwortet die eine Frage, die programmatische Werbeintegrationen tatsächlich stellen: Ist dieses Werbesystem mit dieser Publisher-ID autorisiert, das Inventar dieser Domain zu verkaufen? – und gibt einen autorisierten Boolean und die übereinstimmenden Einträge zurück. Eine fehlende Datei wird als found:false gemeldet (kein Fehler), und Soft-404-HTML-Seiten werden erkannt und zurückgewiesen, sodass Sie niemals eine „Seite nicht gefunden“ als Einträge parsen. Die Anfrage wird serverseitig gestellt und private oder interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Ad-Tech-Supply-Chain-Verifizierung, SSP/DSP-Onboarding-Prüfungen, Betrugsbekämpfung und Inventaraudits. Ein ads.txt-Seller-Autorisierungsprüfer – unterscheidet sich vom Security-Contact-Datei-Leser (securitytxt), dem robots.txt-Crawlability-Evaluator (robots) und dem Sitemap-Parser (sitemap). Kein vorgeschalteter Schlüssel, kein Cache.

api.oanor.com/adstxt-api

Rufen Sie eine XML-Sitemap ab und parsen Sie sie (das sitemaps.org-Protokoll). Übergeben Sie eine Sitemap-URL, und der Parse-Endpunkt ruft sie ab – folgt Weiterleitungen und entpackt transparent .gz-Sitemaps – und gibt ihren Typ zurück: ein urlset mit jeder URL und ihrem lastmod, changefreq und priority, oder ein sitemapindex, der die untergeordneten Sitemaps auflistet, mit offset/limit-Paginierung für große Dateien. Der urls-Endpunkt geht weiter: Wenn die Sitemap ein Index ist, ruft er auch die untergeordneten Sitemaps ab und fasst jede Seiten-URL in einer einzigen Liste zusammen, mit einer konfigurierbaren Obergrenze für URLs und untergeordnete Sitemaps und einem truncated-Flag, damit Sie die Kontrolle behalten. Die Anfrage wird serverseitig gestellt, und private oder interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für SEO-Audits, das Erstellen von Crawl-Warteschlangen und Content-Inventaren, Änderungsüberwachung und Migrationsprüfungen. Ein Sitemap-Fetcher und -Parser – unterschieden von generischer XML-zu-JSON-Konvertierung (xml), dem robots.txt-Evaluator (robots) und dem On-Page-SEO-Audit (seo). Kein Upstream-Schlüssel, kein Cache.

api.oanor.com/sitemap-api

Rufen Sie die robots.txt jeder Website ab und werten Sie sie aus. Übergeben Sie eine URL und einen User-Agent, und der Check-Endpunkt teilt Ihnen mit, ob diese URL crawlbar ist – dabei wird die spezifischste User-Agent-Gruppe ausgewählt und die RFC 9309 Longest-Match Allow/Disallow-Regeln (mit * und $ Platzhaltern, wobei Allow bei Gleichstand gewinnt) angewendet, und gibt die passende Regel, die Crawl-Delay der Gruppe und die Sitemaps zurück, die die Website deklariert. Der Parse-Endpunkt gibt die gesamte Datei strukturiert in Gruppen pro User-Agent (deren Allow- und Disallow-Listen sowie Crawl-Delay) plus die Liste der Sitemaps zurück. Eine fehlende robots.txt (404/403) bedeutet, dass alles erlaubt ist, genau wie es die Spezifikation verlangt. Die Anfrage wird serverseitig gestellt und private oder interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für SEO-Audits, Crawler- und Scraper-Compliance, Sitemap-Erkennung und Pre-Flight-„Darf ich das abrufen?“-Prüfungen. Ein robots.txt-Evaluator – abgegrenzt vom On-Page-SEO-Audit (seo), dem XML-Toolkit (xml) und Link-Unfurling/Preview (url). Kein Upstream-Key, kein Cache.

api.oanor.com/robots-api

Generieren Sie Subresource Integrity (SRI)-Hashes für jedes Web-Asset, damit Browser überprüfen können, ob ein von einem CDN gehostetes Skript oder Stylesheet nicht manipuliert wurde. Übergeben Sie eine URL, und der Dienst ruft das Asset ab und gibt seine sha256-, sha384- und sha512-SRI-Hashes zurück, den gewählten Integritätswert (standardmäßig sha384, oder übergeben Sie Ihren bevorzugten Algorithmus), die Größe und den Inhaltstyp des Assets sowie ein fertiges <script>- oder <link>-Tag mit den Attributen integrity und crossorigin. Ein Verify-Endpunkt ruft das Asset erneut ab und teilt Ihnen mit, ob es noch mit einem bekannten Integritätsstring übereinstimmt – und erkennt so stille CDN-Änderungen oder Lieferkettenmanipulationen, bevor Ihre Benutzer darauf stoßen. Die Anfrage wird serverseitig durchgeführt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für die Sicherung von Drittanbieter-Skripten, Härtung der Lieferkette, Build-Pipelines und CSP/SRI-Compliance. Ein Subresource Integrity-Generator und -Verifizierer – abgegrenzt vom rohen kryptografischen Hashen von Eingabedaten (hash), dem HTTP-Sicherheitsheader-Bewerter (secheaders) und der SSL/TLS-Zertifikatsprüfung (sslcheck). Kein Upstream-Key, kein Cache.

api.oanor.com/sri-api

Rufen Sie die RFC 9116 security.txt einer beliebigen Domain ab und parsen Sie sie – die maschinenlesbare Datei unter /.well-known/security.txt, die Sicherheitsforschern mitteilt, wie sie Schwachstellen melden können. Übergeben Sie eine Domain, und der Dienst lokalisiert die Datei (den kanonischen .well-known-Pfad mit einem Legacy-Root-Fallback), parst jedes Feld – Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring und CSAF – und meldet, ob sie gültig ist (mindestens ein Contact und ein einzelnes, nicht abgelaufenes Expires), ob sie PGP-signiert ist, ob sie abgelaufen ist (mit der Anzahl verbleibender Tage) und eine Liste von Problemen mit konkreten Ratschlägen. Ein begleitender Endpunkt gibt die Rohdatei zurück. Die Anfrage wird serverseitig gestellt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Sicherheitsaudits, Lieferanten- und Drittanbieter-Risikobewertungen, Angriffsflächenüberprüfungen und Compliance-Prüfungen von Richtlinien zur Offenlegung von Schwachstellen. Ein security.txt-Parser und -Validator – unterschieden vom HTTP-Sicherheitsheader-Grader (secheaders), der SSL/TLS-Zertifikatsprüfung (sslcheck) und der Host-Erreichbarkeit (hostcheck). Kein Upstream-Key, kein Cache.

api.oanor.com/securitytxt-api

Rufen Sie eine beliebige URL ab und analysieren Sie deren HTTP-Antwort-Sicherheitsheader – bewerten Sie die Website von A+ bis F, so wie es securityheaders.com und Mozilla Observatory tun. Übergeben Sie eine URL, und der Dienst führt die Anfrage serverseitig aus (folgt Weiterleitungen) und meldet dann, welche Schutzheader vorhanden sind, welche fehlen (mit konkreten Abhilfeempfehlungen) und welche Antwortheader Informationen preisgeben. Bewertete Header umfassen Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy und Cross-Origin-Opener-Policy; informationspreisgebende Header umfassen Server und X-Powered-By. Ein begleitender Endpunkt gibt jeden rohen Antwortheader zurück. Private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Sicherheitsaudits, CI/CD-Sicherheitsgateways, Angriffsflächenüberprüfungen und Compliance-Checks. Ein Sicherheitsheader-Bewerter – unterschieden von der SSL/TLS-Zertifikatsprüfung (sslcheck), der Host-Erreichbarkeit (hostcheck), der IANA-HTTP-Statuscode-Referenz (http) und der On-Page-SEO-Prüfung (seo). Kein vorgeschalteter Schlüssel, kein Cache.

api.oanor.com/secheaders-api

Das offizielle Plugin- und Theme-Verzeichnis von WordPress.org als API – die Registrierung hinter den ~40 % des Webs, die auf WordPress laufen. Schlagen Sie jedes Plugin oder Theme nach seinem Slug nach, um Name, Version, Autor, Benutzerbewertung und Bewertungsanzahl, Anzahl aktiver Installationen und Gesamtdownloads, erforderliche WordPress- und PHP-Versionen, Datum der letzten Aktualisierung, Startseite, Support-URL und direkten Download-Link zu erhalten; und durchsuchen Sie das Verzeichnis nach Stichwort (Plugins oder Themes), mit Ergebnissen sortiert nach aktiven Installationen. Deckt die über 60.000 kostenlosen Plugins und 13.000+ Themes auf WordPress.org ab, von WooCommerce, Yoast SEO und Elementor bis zu Contact Form 7 und Jetpack. Live von der offiziellen api.wordpress.org. Ideal für WordPress-Dashboards und Site-Manager, Plugin-/Theme-Kataloge, Kompatibilitäts- und Update-Tools sowie das WordPress-Entwickler-Ökosystem. Offene Daten von WordPress.org.

api.oanor.com/wordpress-api