oanor
Iscriviti gratis
Mercata Prezzi Caratteristiche Accedi

API · /securitytxt-api

security.txt API

salutare 3,518 Abbonati

Recupera e analizza il file security.txt RFC 9116 di qualsiasi dominio — il file leggibile dalla macchina situato in /.well-known/security.txt che indica ai ricercatori di sicurezza come segnalare le vulnerabilità. Fornisci un dominio e il servizio localizza il file (il percorso canonico .well-known con un fallback legacy alla radice), analizza ogni campo — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring e CSAF — e segnala se è valido (ha almeno un Contact e un singolo Expires non scaduto), se è firmato PGP, se è scaduto (con il numero di giorni rimanenti) e un elenco di problemi con consigli concreti. Un endpoint complementare restituisce il file grezzo. La richiesta è eseguita lato server; i target privati e interni vengono rifiutati (protetto da SSRF). Progettato per audit di sicurezza, valutazione del rischio di fornitori e terze parti, revisioni della superficie d'attacco e controlli di conformità delle politiche di divulgazione delle vulnerabilità. Un parser e validatore di security.txt — distinto dal grader delle intestazioni di sicurezza HTTP (secheaders), dal controllo del certificato SSL/TLS (sslcheck) e dalla raggiungibilità dell'host (hostcheck). Nessuna chiave upstream, nessuna cache.

#security-txt #rfc-9116 #security #vulnerability-disclosure #compliance #web
api.oanor.com/securitytxt-api
Ottieni una chiave API Prova nel parco giochi → Contatta provider

Specifica leggibile dalle macchine, così gli agenti AI possono integrare questa API.

/api/securitytxt-api/openapi.json
/api/securitytxt-api/llms.txt

Individuazione: GET /api/index.json elenca ogni API.

API salute

salutare
Tempo di attività
100.00%
Sondaggi del server · 24 ore su 24
Latenza media
189 ms
Sondaggi del server · 24 ore su 24
Abbonati
3,518
attiva
Chiamate totali
0
ultimi 7 giorni
status Pagina di stato completa → · 3 sonde/24h

Prezzi

Scegli un livello: fatturazione mensile, annullamento in qualsiasi momento.

Free

Gratis

  • 2,400 chiamate/mese
  • 2 richieste/secondo
  • Tetto rigido (429 sopra la quota, nessuna eccedenza)
  • 2,400 calls/month
  • 2 req/sec
  • Parse + validate + raw
  • No credit card
Accedi per abbonarti

Starter

€6.95 /mese

  • 48,000 chiamate/mese
  • 8 richieste/secondo
  • Tetto rigido (429 sopra la quota, nessuna eccedenza)
  • 48k calls/month
  • 8 req/sec
  • Expiry + PGP-signed checks
  • Email support
Accedi per abbonarti

Pro

€21.80 /mese

  • 244,000 chiamate/mese
  • 20 richieste/secondo
  • Tetto rigido (429 sopra la quota, nessuna eccedenza)
  • 244k calls/month
  • 20 req/sec
  • Vendor-assessment & audits
  • Priority support
Accedi per abbonarti

Mega

€57.50 /mese

  • 888,000 chiamate/mese
  • 50 richieste/secondo
  • Tetto rigido (429 sopra la quota, nessuna eccedenza)
  • 888k calls/month
  • 50 req/sec
  • Compliance-platform scale
  • Dedicated SLA
Accedi per abbonarti

Costruito da

P
PremiumApi

Correlato APIs

Altro APIs con tag sovrapposti.

robots.txt API

Fetch and evaluate any website's robots.txt. Pass a URL and a user-agent and the check endpoint tells you whether that URL is crawlable — selecting the most-specific user-agent group and applying the RFC 9309 longest-match Allow/Disallow rules (with * and $ wildcards, where Allow wins ties), and returning the matched rule, the group's crawl-delay and the sitemaps the site declares. The parse endpoint returns the whole file structured into per-user-agent groups (their allow and disallow lists and crawl-delay) plus the list of sitemaps. A missing robots.txt (404/403) means everything is allowed, exactly as the spec requires. The request is made server-side and private or internal targets are refused (SSRF-guarded). Built for SEO audits, crawler and scraper compliance, sitemap discovery and pre-flight "am I allowed to fetch this?" checks. A robots.txt evaluator — distinct from the on-page SEO audit (seo), the XML toolkit (xml) and link unfurling/preview (url). No upstream key, no cache.

api.oanor.com/robots-api

MTA-STS API

检查域的SMTP传输安全状态 — 邮件服务器是否需要通过经过身份验证的TLS传递入站邮件,以防止降级和中间人攻击。传入一个域,服务将从mta-sts.<domain>/.well-known/mta-sts.txt获取MTA-STS策略文件(其版本、模式、允许的MX主机和max_age)、_mta-sts DNS TXT记录(其策略ID)以及_smtp._tls TLS-RPT记录(rua报告地址),然后报告MTA-STS是否实际执行以及问题的优先级列表 — 无策略文件、无DNS记录、仅“测试”模式或缺少TLS-RPT记录。第二个端点仅返回解析后的策略文件。请求在服务器端进行,私有/内部目标被拒绝(SSRF防护)。专为电子邮件可送达性和防降级攻击审计、供应商和第三方评估以及合规性而构建。MTA-STS / TLS-RPT检查器 — SMTP传输安全对应电子邮件身份验证分析器(emailsec,涵盖SPF、DKIM和DMARC),与原始DNS查找(dns)不同。无上游密钥,无缓存。

api.oanor.com/mtasts-api

API de descubrimiento OIDC

Inspecciona cualquier proveedor OpenID Connect / OAuth 2.0. Proporciona un emisor (un dominio, una URL de emisor o la URL de descubrimiento completa) y el servicio obtiene el documento de descubrimiento del proveedor en /.well-known/openid-configuration, analiza cada endpoint — autorización, token, userinfo, jwks, registro, cierre de sesión, introspección, revocación y autorización de dispositivo — junto con los alcances admitidos, tipos de respuesta, tipos de concesión, algoritmos de firma de token ID, métodos PKCE y claims, luego obtiene el JWKS y resume sus claves de firma (recuento, algoritmos, tipos de clave e IDs de clave), e informa una verificación de validez con cualquier problema. Un segundo endpoint obtiene y resume cualquier conjunto de claves web JSON por sí mismo. La solicitud se realiza del lado del servidor y se rechazan los destinos privados/internos (protegido contra SSRF). Construido para integración SSO y OAuth/OIDC, depuración de configuración de proveedores de identidad (Auth0, Okta, Keycloak, Azure AD, Google), revisión de seguridad y monitoreo de rotación de claves de firma. Un inspector de descubrimiento OIDC / JWKS — distinto del kit de herramientas JWT (jwt), el analizador security.txt (securitytxt) y el calificador de encabezados de seguridad HTTP (secheaders). Sin clave upstream, sin caché.

api.oanor.com/oidc-api

Subresource Integrity API

Genera hashes de Subresource Integrity (SRI) para cualquier activo web, de modo que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Pasa una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pasa tu algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y te dice si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que tus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Construido para asegurar scripts de terceros, endurecer la cadena de suministro, pipelines de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Subresource Integrity — distinto del hash criptográfico en bruto de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Domande frequenti

Risposte rapide su prezzi, quote e integrazione.

Come ottengo una chiave API per security.txt API?
Registrati gratuitamente su oanor.com, genera una chiave API dalla dashboard sviluppatore e chiama security.txt API con l'header x-oanor-key. Nessuna carta di credito richiesta per il piano gratuito.
Qual è il limite di velocità di security.txt API?
Il piano gratuito consente 1 richiesta al secondo. I piani a pagamento arrivano fino a 50 richieste al secondo nel piano Mega. I limiti rigorosi restituiscono HTTP 429 oltre la quota — nessuna spesa imprevista.
Quanto costa security.txt API?
security.txt API ha un piano gratuito con 100 chiamate / mese. I piani a pagamento partono da €6.95 / mese con quote più alte e limiti di velocità più rapidi.
Posso cancellare l'abbonamento in qualsiasi momento?
Sì. I piani sono fatturati mensilmente e puoi cancellare in qualsiasi momento dalla dashboard di fatturazione. Nessun contratto a lungo termine e nessuna penale di cancellazione.
security.txt API è conforme al GDPR?
Tutte le richieste a security.txt API passano attraverso il nostro gateway in UE. La tua chiave upstream non lascia mai il nostro server e nessun dato personale viene condiviso con il fornitore upstream oltre alla richiesta inviata.

Scegli un endpoint dall'elenco a sinistra per visualizzarne i dettagli e provarlo.

Frammenti di codice

Iscriviti per ottenere una chiave API, quindi chiama qualsiasi percorso sotto il tuo slug.

curl https://api.oanor.com/securitytxt-api/SOME_PATH \
  -H "x-oanor-key: oanor_test_..."
const res = await fetch("https://api.oanor.com/securitytxt-api/SOME_PATH", {
  headers: { "x-oanor-key": "oanor_test_..." }
});
const data = await res.json();
$ch = curl_init("https://api.oanor.com/securitytxt-api/SOME_PATH");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, ["x-oanor-key: oanor_test_..."]);
$response = curl_exec($ch);
import requests
r = requests.get(
    "https://api.oanor.com/securitytxt-api/SOME_PATH",
    headers={"x-oanor-key": "oanor_test_..."},
)
print(r.json())

Valutazioni

Accedi per votare.

Nessuna recensione ancora.

Discussione

Fai domande, condividi consigli, ricevi risposte dal provider e dagli altri sviluppatori. Pubblico — chiunque può leggere.

Accedi per scrivere o rispondere.

Accedi

Nuova discussione

/ 4000

📌 Fissato 🔒 Bloccato

·

· ·

/ 4000

🔒 Discussione bloccata — non si può più rispondere.

  • Nessuna discussione — inizia tu.

Supporto

Supporto privato 1:1 con il provider — fatturazione, integrazione, account. Solo tu e il team del provider vedete questi thread.

Accedi per aprire un ticket di supporto.

Accedi

Apri nuovo ticket

Descrivi cosa ti serve. Il team del provider riceve un'email e risponde sulla pagina del ticket.

  • Nessun ticket per questa API.

Abbonamento attivo: le chiamate possono iniziare subito.

Invia la tua prima richiesta —

Abbonamento attivo: copia uno snippet e avvia la tua prima chiamata.