oanor
Inscription gratuite
Marché Tarifs Fonctionnalités Connexion

API · /sri-api

API d'intégrité des sous-ressources

en bonne santé 4,297 Abonnées

Générez des hachages d'intégrité des sous-ressources (SRI) pour toute ressource web, afin que les navigateurs puissent vérifier qu'un script ou une feuille de style hébergé sur un CDN n'a pas été altéré. Passez une URL et le service récupère la ressource et renvoie ses hachages SRI sha256, sha384 et sha512, la valeur d'intégrité choisie (sha384 par défaut, ou passez votre algorithme préféré), la taille et le type de contenu de la ressource, ainsi qu'une balise <script> ou <link> prête à coller avec les attributs integrity et crossorigin. Un point de terminaison de vérification récupère à nouveau la ressource et vous indique si elle correspond toujours à une chaîne d'intégrité connue — détectant les modifications silencieuses du CDN ou les altérations de la chaîne d'approvisionnement avant que vos utilisateurs ne les rencontrent. La requête est effectuée côté serveur ; les cibles privées et internes sont refusées (protégé contre les SSRF). Conçu pour sécuriser les scripts tiers, renforcer la chaîne d'approvisionnement, les pipelines de construction et la conformité CSP/SRI. Un générateur et vérificateur d'intégrité des sous-ressources — distinct du hachage cryptographique brut des données d'entrée (hash), du vérificateur d'en-têtes de sécurité HTTP (secheaders) et du contrôle de certificat SSL/TLS (sslcheck). Pas de clé en amont, pas de cache.

#subresource-integrity #sri #security #supply-chain #web #cdn
api.oanor.com/sri-api
Obtenez une clé API Essayez dans la cour de récréation → Contacter fournisseur

Spécification lisible par machine afin que les agents IA puissent intégrer cette API.

/api/sri-api/openapi.json
/api/sri-api/llms.txt

Découverte: GET /api/index.json répertorie tous les API.

Santé API

en bonne santé
Temps de disponibilité
100.00%
Sondes serveur · 24h
Latence moyenne
98 ms
Sondes serveur · 24h
Abonnées
4,297
active
Total des appels
0
les 7 derniers jours
status Page d'état complète → · 3 sondes/24h

Tarifs

Choisissez un niveau: facturé mensuellement, annulez à tout moment.

Free

Gratuite

  • 2,300 appels / mois
  • 2 requêtes / seconde
  • Plafond ferme (429 au-dessus du quota, pas de dépassement)
  • 2 300 appels/mois
  • 2 req/s
  • Générer + vérifier SRI
  • Pas de carte de crédit
Connectez-vous pour vous abonner

Starter

€6.70 /mois

  • 45,500 appels / mois
  • 8 requêtes / seconde
  • Plafond ferme (429 au-dessus du quota, pas de dépassement)
  • 45,5k appels/mois
  • 8 req/s
  • sha256/384/512 + balises
  • Assistance par e-mail
Connectez-vous pour vous abonner

Pro

€21.30 /mois

  • 234,000 appels / mois
  • 20 requêtes / seconde
  • Plafond ferme (429 au-dessus du quota, pas de dépassement)
  • 234k appels/mois
  • 20 req/sec
  • Vérifications de la chaîne d'approvisionnement CI
  • Support prioritaire
Connectez-vous pour vous abonner

Mega

€55.80 /mois

  • 865,000 appels / mois
  • 50 requêtes / seconde
  • Plafond ferme (429 au-dessus du quota, pas de dépassement)
  • 865k appels/mois
  • 50 req/sec
  • Échelle du pipeline de build
  • SLA dédié
Connectez-vous pour vous abonner

Construit par

P
PremiumApi

Connexes APIs

Autres APIs avec des balises qui se chevauchent.

API MTA-STS

Inspectez la posture de sécurité du transport SMTP d'un domaine — si les serveurs de messagerie sont tenus de livrer le courrier entrant via TLS authentifié, le protégeant ainsi des attaques de déclassement et d'homme du milieu. Fournissez un domaine et le service récupère le fichier de politique MTA-STS depuis mta-sts.<domaine>/.well-known/mta-sts.txt (sa version, son mode, les hôtes MX autorisés et max_age), l'enregistrement DNS TXT _mta-sts (son identifiant de politique) et l'enregistrement TLS-RPT _smtp._tls (l'adresse de rapport rua), puis indique si MTA-STS est effectivement appliqué et une liste priorisée de problèmes — absence de fichier de politique, absence d'enregistrement DNS, mode "testing" uniquement, ou absence d'enregistrement TLS-RPT. Un second point de terminaison renvoie uniquement le fichier de politique analysé. La requête est effectuée côté serveur et les cibles privées/internes sont refusées (protégé contre SSRF). Conçu pour les audits de délivrabilité des e-mails et de protection contre les attaques de déclassement, l'évaluation des fournisseurs et des tiers, et la conformité. Un vérificateur MTA-STS / TLS-RPT — l'équivalent de la sécurité du transport SMTP de l'analyseur d'authentification des e-mails (emailsec, qui couvre SPF, DKIM et DMARC), et distinct de la recherche DNS brute (dns). Pas de clé en amont, pas de cache.

api.oanor.com/mtasts-api

API de découverte OIDC

Inspectez n'importe quel fournisseur OpenID Connect / OAuth 2.0. Passez un émetteur (un domaine, une URL d'émetteur ou l'URL de découverte complète) et le service récupère le document de découverte du fournisseur à /.well-known/openid-configuration, analyse chaque point de terminaison — autorisation, jeton, userinfo, jwks, enregistrement, fin de session, introspection, révocation et autorisation d'appareil — ainsi que les portées prises en charge, les types de réponse, les types d'octroi, les algorithmes de signature de jeton ID, les méthodes PKCE et les revendications, puis récupère le JWKS et résume ses clés de signature (nombre, algorithmes, types de clés et identifiants de clé), et rapporte une vérification de validité avec tout problème. Un deuxième point de terminaison récupère et résume tout ensemble de clés Web JSON par lui-même. La requête est effectuée côté serveur et les cibles privées/internes sont refusées (protégé contre SSRF). Conçu pour l'intégration SSO et OAuth/OIDC, le débogage de configuration de fournisseur d'identité (Auth0, Okta, Keycloak, Azure AD, Google), la révision de sécurité et la surveillance de la rotation des clés de signature. Un inspecteur de découverte OIDC / JWKS — distinct de la boîte à outils JWT (jwt), de l'analyseur security.txt (securitytxt) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). Pas de clé en amont, pas de cache.

api.oanor.com/oidc-api

API de renseignement sur les vulnérabilités

Priorisez les CVE en fonction du risque d'exploitation dans le monde réel — pas seulement de la gravité. Combine le score EPSS de FIRST.org (la probabilité, de 0 à 1, qu'une CVE soit exploitée dans les 30 prochains jours, avec son rang centile) et le catalogue KEV de la CISA (vulnérabilités confirmées comme étant activement exploitées dans la nature — avec le fournisseur, le produit, la date d'ajout, la date d'échéance de correction et si la faille est utilisée dans des campagnes de ransomware), et dérive un seul niveau de priorité pour chaque CVE. Recherchez jusqu'à 25 CVE en un seul appel, parcourez l'intégralité du catalogue des vulnérabilités connues exploitées de la CISA filtré par fournisseur, produit ou utilisation de ransomware, ou listez les CVE avec les scores EPSS les plus élevés actuellement. Conçu pour la gestion des vulnérabilités, la priorisation des correctifs, la notation des risques et les tableaux de bord de sécurité — répondant non pas « à quel point cela pourrait-il être grave ? » mais « quelle est la probabilité qu'il soit réellement exploité ? ». Une couche de priorisation des vulnérabilités — distincte des détails bruts des CVE et de la gravité CVSS (cve), des vérifications de fuites de mots de passe (pwned) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). Données en direct de FIRST.org et de la CISA. Pas de clé en amont, pas de cache.

api.oanor.com/vulnintel-api

API de sécurité des e-mails

Inspectez la posture d'authentification des e-mails de n'importe quel domaine — sa protection contre l'usurpation et l'hameçonnage — via DNS en direct. Passez un domaine et le service recherche et valide SPF (l'enregistrement v=spf1, son qualificateur all et la limite de 10 recherches), DMARC (la politique _dmarc p=none/quarantine/reject, plus sp, pct et les adresses de rapport rua/ruf), DKIM (en sondant les sélecteurs courants à selector._domainkey, ou passez le vôtre), BIMI et les serveurs MX — puis renvoie une note de A+ à F avec une liste priorisée des problèmes et des conseils concrets. Un deuxième point de terminaison analyse l'enregistrement DMARC balise par balise avec une interprétation en langage clair de la politique. Conçu pour les audits de délivrabilité des e-mails et anti-usurpation, l'évaluation des risques des fournisseurs et tiers, l'intégration de sécurité et la surveillance continue. Un analyseur d'authentification des e-mails — distinct de la validation de boîte aux lettres/adresse (email), de la recherche brute d'enregistrements DNS (dns) et du vérificateur d'en-têtes de sécurité HTTP (secheaders). DNS en direct pur, aucune clé en amont, aucun cache.

api.oanor.com/emailsec-api

Questions fréquentes

Réponses rapides sur les tarifs, quotas et l'intégration.

Comment obtenir une clé API pour API d'intégrité des sous-ressources ?
Inscris-toi gratuitement sur oanor.com, génère une clé API depuis le tableau de bord développeur et appelle API d'intégrité des sous-ressources avec l'en-tête x-oanor-key. Aucune carte bancaire requise pour le forfait gratuit.
Quelle est la limite de débit de API d'intégrité des sous-ressources ?
Le forfait gratuit permet 1 requête par seconde. Les forfaits payants montent jusqu'à 50 requêtes par seconde sur le palier Mega. Les limites strictes renvoient HTTP 429 au-delà du quota — sans frais surprises.
Combien coûte API d'intégrité des sous-ressources ?
API d'intégrité des sous-ressources dispose d'un forfait gratuit avec 100 appels / mois. Les forfaits payants commencent à €6.70 / mois avec des quotas plus élevés et des limites de débit plus rapides.
Puis-je résilier mon abonnement à tout moment ?
Oui. Les abonnements sont facturés mensuellement et tu peux résilier à tout moment depuis le tableau de bord de facturation. Aucun engagement à long terme ni frais de résiliation.
API d'intégrité des sous-ressources est-il conforme au RGPD ?
Toutes les requêtes vers API d'intégrité des sous-ressources transitent par notre passerelle européenne. Ta clé API upstream ne quitte jamais notre serveur et aucune donnée personnelle n'est partagée avec le fournisseur upstream au-delà de la requête envoyée.

Choisissez un point de terminaison dans la liste de gauche pour voir ses détails et essayez-le.

Extraits de code

Inscrivez-vous pour obtenir une clé API, puis appelez n'importe quel chemin sous votre slug.

curl https://api.oanor.com/sri-api/SOME_PATH \
  -H "x-oanor-key: oanor_test_..."
const res = await fetch("https://api.oanor.com/sri-api/SOME_PATH", {
  headers: { "x-oanor-key": "oanor_test_..." }
});
const data = await res.json();
$ch = curl_init("https://api.oanor.com/sri-api/SOME_PATH");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, ["x-oanor-key: oanor_test_..."]);
$response = curl_exec($ch);
import requests
r = requests.get(
    "https://api.oanor.com/sri-api/SOME_PATH",
    headers={"x-oanor-key": "oanor_test_..."},
)
print(r.json())

Notes

Connectez-vous pour évaluer.

Aucun avis pour l'instant.

Discussion

Pose tes questions, partage des astuces, obtiens des réponses du fournisseur et d'autres devs. Public — tout le monde peut lire.

Connecte-toi pour écrire ou répondre.

Connexion

Nouvelle discussion

/ 4000

📌 Épinglée 🔒 Verrouillée

·

· ·

/ 4000

🔒 Discussion verrouillée — plus de nouvelles réponses.

  • Aucune discussion — lance la première.

Support

Support privé 1:1 avec le fournisseur — facturation, intégration, compte. Seulement toi et l'équipe du fournisseur voyez ces fils.

Connecte-toi pour ouvrir un ticket de support.

Connexion

Ouvrir un nouveau ticket

Décris ce dont tu as besoin. L'équipe reçoit un email et répond sur la page du ticket.

  • Aucun ticket pour cette API.

Abonnement actif : les appels peuvent commencer immédiatement.

Envoyez votre première demande —

Abonnement actif: copiez un extrait et lancez votre premier appel.