Documentation

Vous êtes sur le point d'accepter une inscription, un fournisseur, une dépendance, un wallet ? Avant de cliquer « valider », demandez-nous : danger ou pas ? On répond en ~100 ms avec un verdict clair (CLEAR, MONITOR, REVIEW, BLOCK) et la raison.

Ce qu'on fait, en une phrase : vous nous envoyez une information (email, domaine, paquet, SaaS, wallet) — on la compare à nos listes (phishing, OFAC, CVE, providers jetables, typosquats…) et on vous dit si vous devez bloquer, contrôler ou laisser passer.

Quickstart — 60 secondes

1. Récupérer une clé gratuite : /signup (ou abonnement via xipinow.com).
2. La clé arrive par email, format xpn_... (ou similaire). Garde-la secrète.
3. Premier appel — copier-coller dans un terminal :

curl -H "X-API-Key: VOTRE_CLE" https://api.xipinow.com/v1/email/test@gmail.com

Réponse attendue (≈ 100 ms) :

{
  "email": "test@gmail.com",
  "domain": "gmail.com",
  "score": 100,
  "verdict": "DELIVERABLE",
  "deliverable": true,
  "flags": [],
  "checked_at": "2026-04-30T20:12:49Z",
  "engine": "xipinow-email-1.0"
}

Si tu vois ce JSON, ta clé fonctionne. Sinon : 401 = clé invalide, 429 = quota dépassé.

Essayer en direct depuis cette page

Colle ta clé, choisis un endpoint, clique — la vraie API répond ici sans terminal.

// la réponse s'affichera ici

Authentification

Toutes les requêtes (sauf /v1/methodology et /v1/health/data) requièrent un en-tête :

X-API-Key: xpn_votre_cle

Obtenir une clé gratuite : /signup · S'abonner Pro/Scale : xipinow.com.

Plans & quotas

Free — 200 req/jour, verdicts basiques.
Starter — 19 €/mois HT — 10 000 req/jour, support email.
Pro — 99 €/mois HT — 100 000 req/jour, détails complets, export d'audit.
Scale — 499 €/mois HT — 1 000 000 req/jour, SLA 99,9 %, support Slack.

Verdicts

Tous les endpoints renvoient un score 0–100 et un verdict :

CLEAR — score < 20
MONITOR — score 20–49
REVIEW — score 50–79
BLOCK — score ≥ 80

Inscription par email — vérifier l'adresse

Quand l'utiliser : formulaire d'inscription, ajout de membre, capture de lead.
Ce que vous envoyez : l'adresse email (contact@exemple.com).
Ce qu'on compare : 5 400+ domaines jetables (Mailinator, 10minutemail…), validité MX, motifs role-based (info@, admin@), syntaxe.
Vous recevez : verdict + raisons. Décidez si vous l'acceptez.

curl -H "X-API-Key: $KEY" https://api.xipinow.com/v1/email/contact@exemple.com

Domaine entrant — site, expéditeur, redirection

Quand l'utiliser : un domaine apparaît dans un message, un formulaire, un lien partenaire ; avant de l'afficher à vos clients.
Ce que vous envoyez : le domaine (exemple.com).
Ce qu'on compare : listes phishing OpenPhish + URLhaus (rafraîchies quotidiennement, 12 700+ entrées), détection typosquat (proximité de marques connues), âge du certificat SSL, registrar à risque.
Vous recevez : verdict + flags (phishing, typosquat:stripe.com, ssl_age<30j…).

curl -H "X-API-Key: $KEY" https://api.xipinow.com/v1/domain/exemple.com

Dépendance OSS — paquet npm / pypi / cargo

Quand l'utiliser : avant npm install / pip install, dans votre CI, ou pour auditer un package.json.
Ce que vous envoyez : écosystème + nom du paquet (npm/lodash).
Ce qu'on compare : base CVE (sévérité), statut archivé/non maintenu, typosquat (proximité avec paquets populaires), maintainer suspect.
Vous recevez : verdict + CVE majeurs + drapeaux supply-chain.

curl -H "X-API-Key: $KEY" https://api.xipinow.com/v1/oss/npm/lodash

Vendeur SaaS — fournisseur en évaluation

Quand l'utiliser : un nouveau SaaS demande à se connecter à vos données, ou vous évaluez un fournisseur.
Ce que vous envoyez : le nom du SaaS (obligatoire), domaine et repo GitHub (optionnels mais améliorent le score).
Ce qu'on compare : activité GitHub (commits récents, contributeurs), âge du domaine, réputation uptime, signaux d'abandon.
Vous recevez : verdict + indicateurs de viabilité.

curl -H "X-API-Key: $KEY" "https://api.xipinow.com/v1/saas/score?name=Stripe&domain=stripe.com"

Wallet crypto — adresse Solana

Quand l'utiliser : avant d'accepter un paiement crypto, d'ajouter un wallet à un programme, ou de pousser un trade.
Ce que vous envoyez : l'adresse Solana.
Ce qu'on compare : liste OFAC SDN (sanctions US, refresh quotidien), votre watchlist privée, âge du wallet, historique d'interactions à risque.
Vous recevez : verdict + correspondance OFAC explicite si applicable.

curl -H "X-API-Key: $KEY" https://api.xipinow.com/v1/screen/9WzDXwBbmkg8ZTbNMqUxvQRAyrZzDsGYdLVL9zYtAWWM

Vérifier 100 adresses d'un coup :

curl -H "X-API-Key: $KEY" -H "Content-Type: application/json" \
  -d '{"addresses":["addr1","addr2"]}' \
  https://api.xipinow.com/v1/screen/batch

Vérification multi-signaux — un seul appel

Quand l'utiliser : onboarding complet (l'utilisateur fournit email + domaine pro + wallet en même temps), pour ne faire qu'une requête.
Ce que vous envoyez : n'importe quelle combinaison des signaux ci-dessus.
Vous recevez : le verdict le plus défavorable parmi tous — si une seule chose flanche, vous le voyez.

curl -H "X-API-Key: $KEY" -H "Content-Type: application/json" \
  -d '{"domain":"exemple.com","email":"x@exemple.com"}' \
  https://api.xipinow.com/v1/trust/check

Santé des sources & audit

/v1/methodology — comment on calcule les scores, public, sans clé.
/v1/health/data — date de dernière mise à jour de chaque source (phishing, OFAC, CVE…), sans clé.
/v1/audit/export — exporter toutes vos requêtes signées (Pro+), prouve à un régulateur ce que vous avez vérifié et quand.
/v1/audit/verify — vérifier l'intégrité de la chaîne d'audit (chaque ligne hashée avec la précédente).

Une question, une remontée de bug, une demande d'intégration ? support@xipinow.com — réponse sous 5 jours ouvrés.