#web

Analiza y construye cookies HTTP. El endpoint de análisis lee un encabezado Set-Cookie en su nombre, valor y atributos estructurados — Domain, Path, Expires, Max-Age, Secure, HttpOnly, SameSite, Priority y Partitioned — o, con mode=cookie, divide un encabezado Cookie de solicitud como "a=1; b=2; c=3" en una lista ordenada y un mapa nombre→valor. El endpoint de serialización construye una cadena Set-Cookie correcta a partir de campos simples, con valores predeterminados sensatos (Path=/), formato de fecha adecuado para Expires, codificación URL opcional del valor y validación del nombre de la cookie, la fecha y los atributos de enumeración — y agrega automáticamente Secure cuando SameSite=None, como requieren los navegadores. Todo se calcula local y determinísticamente, por lo que es instantáneo y privado. Ideal para frameworks web y middleware, depuración de API y proxies, herramientas de sesión y consentimiento, pruebas y revisión de seguridad. Cálculo local puro — sin clave, sin servicio de terceros, instantáneo. En vivo, nada almacenado. 3 endpoints. Esto analiza y construye cadenas de cookies; no obtiene una URL — para inspeccionar los encabezados de respuesta de un sitio en vivo, use una API de encabezados de seguridad o HTTP.

api.oanor.com/cookie-api

Cada código de estado HTTP como una API. Busque cualquier código (por ejemplo, 404, 429, 503) y obtenga su frase de razón estándar, su clase (1xx Informativo, 2xx Éxito, 3xx Redirección, 4xx Error del Cliente, 5xx Error del Servidor), una descripción en inglés sencillo, la RFC que lo define, y banderas útiles para saber si es un error y si es comúnmente seguro reintentar (408, 425, 429, 500, 502, 503, 504). Liste cada código asignado o filtre por clase, y enumere las cinco clases de estado. Perfecto para clientes y pasarelas de API, páginas de error, paneles de registro y monitoreo, documentación y enseñanza. Cómputo local puro — sin clave, sin servicio de terceros, instantáneo. En vivo, nada almacenado. 4 endpoints. Distinto de los verificadores de host/tiempo de actividad que reportan un estado en vivo — este es el diccionario de referencia de los códigos mismos.

api.oanor.com/httpstatus-api

Obtén y evalúa el ads.txt / app-ads.txt de cualquier editor — el estándar de vendedores digitales autorizados de IAB. Pasa un dominio y el endpoint check obtiene su ads.txt del lado del servidor, luego devuelve cada registro de vendedor analizado en sus campos — sistema publicitario, el ID de vendedor/cuenta del editor, la relación DIRECT o RESELLER y el ID opcional de autoridad de certificación (TAG-ID) — junto con recuentos (directos, revendedores, sistemas publicitarios distintos) y las variables declaradas OWNERDOMAIN, MANAGERDOMAIN, CONTACT y SUBDOMAINS. El endpoint verify responde la pregunta que las integraciones de publicidad programática realmente hacen: ¿este sistema publicitario, con este ID de editor, está autorizado para vender el inventario de este dominio? — devolviendo un booleano authorized y los registros coincidentes. Un archivo faltante se reporta como found:false (no es un error), y las páginas HTML de soft-404 se detectan y rechazan para que nunca analices un "página no encontrada" como registros. La solicitud se realiza del lado del servidor y los objetivos privados o internos son rechazados (protegido contra SSRF). Construido para verificación de la cadena de suministro de tecnología publicitaria, comprobaciones de incorporación de SSP/DSP, antifraude y auditorías de inventario. Un verificador de autorización de vendedores ads.txt — distinto del lector de archivos de contacto de seguridad (securitytxt), el evaluador de rastreabilidad de robots.txt (robots) y el analizador de sitemaps (sitemap). Sin clave upstream, sin caché.

api.oanor.com/adstxt-api

Obtén y analiza un sitemap XML (protocolo sitemaps.org). Proporciona una URL de sitemap y el endpoint de análisis la obtiene —siguiendo redirecciones y descomprimiendo transparentemente sitemaps .gz— y devuelve su tipo: un urlset con cada URL y su lastmod, changefreq y priority, o un sitemapindex que lista los sitemaps hijos, con paginación offset/limit para archivos grandes. El endpoint de urls va más allá: cuando el sitemap es un índice, también obtiene los sitemaps hijos y aplana cada URL de página en una sola lista, con un límite configurable de URLs y sitemaps hijos y una bandera truncada para que mantengas el control. La solicitud se realiza del lado del servidor y los destinos privados o internos son rechazados (protegido contra SSRF). Diseñado para auditorías SEO, construcción de colas de rastreo e inventarios de contenido, monitoreo de cambios y verificaciones de migración. Un extractor y analizador de sitemaps —distinto de la conversión genérica de XML a JSON (xml), el evaluador de robots.txt (robots) y la auditoría SEO en página (seo). Sin clave upstream, sin caché.

api.oanor.com/sitemap-api

Obtén y evalúa el robots.txt de cualquier sitio web. Proporciona una URL y un agente de usuario, y el endpoint de verificación te indica si esa URL es rastreable: selecciona el grupo de agente de usuario más específico y aplica las reglas de coincidencia más larga de Allow/Disallow según RFC 9309 (con comodines * y $, donde Allow gana en empates), y devuelve la regla coincidente, el crawl-delay del grupo y los sitemaps que declara el sitio. El endpoint de análisis devuelve el archivo completo estructurado en grupos por agente de usuario (sus listas de allow y disallow y crawl-delay) más la lista de sitemaps. Un robots.txt faltante (404/403) significa que todo está permitido, exactamente como lo requiere la especificación. La solicitud se realiza del lado del servidor y se rechazan los destinos privados o internos (protegido contra SSRF). Diseñado para auditorías SEO, cumplimiento de rastreadores y scrapers, descubrimiento de sitemaps y verificaciones previas de "¿tengo permiso para obtener esto?". Un evaluador de robots.txt, distinto de la auditoría SEO en página (seo), el kit de herramientas XML (xml) y la previsualización de enlaces (url). Sin clave upstream, sin caché.

api.oanor.com/robots-api

Genere hashes de Integridad de Subrecursos (SRI) para cualquier activo web, para que los navegadores puedan verificar que un script u hoja de estilo alojado en una CDN no ha sido manipulado. Proporcione una URL y el servicio obtiene el activo y devuelve sus hashes SRI sha256, sha384 y sha512, el valor de integridad elegido (sha384 por defecto, o pase su algoritmo preferido), el tamaño y tipo de contenido del activo, y una etiqueta <script> o <link> lista para pegar con los atributos integrity y crossorigin. Un endpoint de verificación vuelve a obtener el activo y le indica si aún coincide con una cadena de integridad conocida, detectando cambios silenciosos en la CDN o manipulación en la cadena de suministro antes de que sus usuarios los encuentren. La solicitud se realiza del lado del servidor; los destinos privados e internos son rechazados (protegido contra SSRF). Diseñado para asegurar scripts de terceros, fortalecer la cadena de suministro, tuberías de compilación y cumplimiento de CSP/SRI. Un generador y verificador de Integridad de Subrecursos, distinto del hash criptográfico sin procesar de datos de entrada (hash), el calificador de encabezados de seguridad HTTP (secheaders) y la verificación de certificados SSL/TLS (sslcheck). Sin clave upstream, sin caché.

api.oanor.com/sri-api

Obtén y analiza el archivo security.txt RFC 9116 de cualquier dominio: el archivo legible por máquina en /.well-known/security.txt que indica a los investigadores de seguridad cómo reportar vulnerabilidades. Proporciona un dominio y el servicio localiza el archivo (la ruta canónica .well-known con un fallback raíz heredado), analiza cada campo — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring y CSAF — e informa si es válido (tiene al menos un Contact y un único Expires no vencido), si está firmado con PGP, si ha expirado (con el número de días restantes) y una lista de problemas con consejos concretos. Un endpoint complementario devuelve el archivo sin procesar. La solicitud se realiza del lado del servidor; se rechazan objetivos privados e internos (protegido contra SSRF). Construido para auditorías de seguridad, evaluación de riesgos de proveedores y terceros, revisiones de superficie de ataque y verificaciones de cumplimiento de políticas de divulgación de vulnerabilidades. Un analizador y validador de security.txt — distinto del calificador de cabeceras de seguridad HTTP (secheaders), la verificación de certificados SSL/TLS (sslcheck) y la accesibilidad del host (hostcheck). Sin clave upstream, sin caché.

api.oanor.com/securitytxt-api

Obtén cualquier URL y analiza sus encabezados de seguridad de respuesta HTTP, calificando el sitio de A+ a F como lo hacen securityheaders.com y Mozilla Observatory. Pasa una URL y el servicio realiza la solicitud del lado del servidor (siguiendo redirecciones), luego informa qué encabezados protectores están presentes, cuáles faltan (con consejos concretos de remediación) y qué encabezados de respuesta filtran información. Los encabezados calificados incluyen Strict-Transport-Security (HSTS), Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy y Cross-Origin-Opener-Policy; los encabezados que filtran información incluyen Server y X-Powered-By. Un endpoint complementario devuelve cada encabezado de respuesta sin procesar. Los objetivos privados e internos son rechazados (protegido contra SSRF). Construido para auditorías de seguridad, puertas de seguridad en CI/CD, revisiones de superficie de ataque y verificaciones de cumplimiento. Un calificador de encabezados de seguridad, distinto de la verificación de certificados SSL/TLS (sslcheck), la accesibilidad del host (hostcheck), la referencia de códigos de estado HTTP de IANA (http) y la auditoría SEO en página (seo). Sin clave upstream, sin caché.

api.oanor.com/secheaders-api

El directorio oficial de plugins y temas de WordPress.org como una API: el registro detrás del ~40% de la web que funciona con WordPress. Busca cualquier plugin o tema por su slug para obtener su nombre, versión, autor, calificación de usuario y número de calificaciones, recuento de instalaciones activas y descargas totales, las versiones de WordPress y PHP que requiere, fecha de última actualización, página de inicio, URL de soporte y enlace de descarga directa; y busca en el directorio por palabra clave (plugins o temas), con resultados clasificados por instalaciones activas. Cubre más de 60,000 plugins gratuitos y 13,000 temas en WordPress.org, desde WooCommerce, Yoast SEO y Elementor hasta Contact Form 7 y Jetpack. En vivo desde la API oficial api.wordpress.org. Ideal para paneles de WordPress y administradores de sitios, catálogos de plugins/temas, herramientas de compatibilidad y actualización, y el ecosistema de desarrolladores de WordPress. Datos abiertos de WordPress.org.

api.oanor.com/wordpress-api