Erweiterung für Browser

Für Unternehmen

Preise

Blog

Dokumentation

Deutsch

Cloudflare Challenge
und CapMonster Cloud

Captcha-Lösung, Installation auf der Website und Testen.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Cloudflare Challenge eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Cloudflare Challenge, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Cloudflare Challenge

Cloudflare Challenge (oder Interstitial Challenge Pages) ist ein Überprüfungssystem von Cloudflare, das Websites vor Bots, Spam und schädlichem Traffic schützt. Wenn Cloudflare vermutet, dass die Anfrage nicht von einem echten Besucher stammt (z. B. wegen einer verdächtigen IP oder deaktiviertem JavaScript), zeigt es eine Challenge an – also eine „Prüfung“, die bestätigt, dass der Besucher ein Mensch ist. Dieser Challenge-Typ unterscheidet sich von Turnstile dadurch, dass der Nutzer zuerst eine Zwischenseite mit der Meldung „Just a moment…“ und „Verifying you are human. This may take a few seconds.“ sieht.

Wie man Cloudflare Challenge über CapMonster Cloud löst

Beim Testen des Schutzes mit der Cloudflare Challenge ist es wichtig sicherzustellen, dass die Überprüfung korrekt funktioniert und verdächtigen Traffic richtig herausfiltert.

Sie können den auf Ihrer Seite installierten Challenge manuell testen:

Öffnen Sie die entsprechende Seite im Inkognito-Modus und stellen Sie sicher, dass die Challenge angezeigt wird.
Versuchen Sie, im Browser falsche cf_clearance-Cookies einzusetzen (Details siehe unten) — der Server sollte einen Fehler zurückgeben.
Nach erfolgreicher Challenge-Lösung sollte sich die eigentliche Seite ohne weitere Prüfung öffnen.

Für automatisches Testen und Captcha-Erkennung können spezialisierte Dienste wie CapMonster Cloud genutzt werden — ein Tool, das Captcha-Parameter entgegennimmt, verarbeitet und eine fertige Lösung zurückgibt. Diese Lösung (Token oder Cookie) kann an Browser oder HTTP-Client übergeben werden, um die Prüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übermitteln Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine taskId zurück, mit der später das Ergebnis abgerufen wird.

API-Anfrage senden

In der Anfrage zur Lösung der Cloudflare-Challenge müssen die folgenden Parameter angegeben werden:

type - TurnstileTask

websiteURL - URL der Seite, auf der die Captcha-Challenge auftritt

websiteKey - Turnstile-Schlüssel (es kann beliebige Zeichenkette übergeben werden)

cloudflareTaskType - cf_clearance

htmlPageBase64 - Die in Base64 kodierte HTML-Seite „Just a moment“, die beim Zugriff auf eine mit diesem Schutz versehene Website mit dem Code 403 ausgegeben wird.

userAgent - Browser-User-Agent. Geben Sie nur den aktuellen UA von Windows-Betriebssystemen weiter.

Für diese Aufgabe müssen Sie außerdem eigene Proxies verwenden:

proxyType :

http – gewöhnlicher HTTP/HTTPS-Proxy;
https – versuchen Sie diese Option, wenn „http“ nicht funktioniert (erforderlich für einige kundenspezifische Proxies);
socks4 – SOCKS4-Proxy;
socks5 – SOCKS5-Proxy.

proxyAddress - Proxy-IP-Adresse (IPv4/IPv6).

proxyPort - Proxy-Port.

proxyLogin - Proxy-Login.

proxyPassword - Proxy-Passwort.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "cf_clearance",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Einsetzen von cf_clearance

Das erhaltene Ergebnis (Cookie cf_clearance) kann im Browser gesetzt oder per HTTP-Header übermittelt werden: Cookie: cf_clearance=<Wert>. Für Automatisierung eignen sich Puppeteer, Selenium oder Playwright, um Benutzeraktionen zu simulieren, Cookies einzusetzen und Formulare auszuführen.

Lösen der Cloudflare Challenge mit fertigen Bibliotheken

CapMonster Cloud bietet fertige Bibliotheken für Python, JavaScript (Node.js) und C#.

Python

JavaScript

Challenge-Lösung und Cookie-Einbindung

Beispiel in Node.js für einen vollständigen Ablauf der Captcha-Erkennung auf Ihrer Webseite. Ansätze: Abruf des HTML via HTTP, Extrahieren der Schutzparameter, Senden an CapMonster, Verarbeiten der Antwort. Oder mit Automatisierungstools wie Playwright — Seite öffnen, Challenge abwarten, Parameter auslesen, Ergebnis holen, cf_clearance setzen (richtig oder falsch für Tests) und Ergebnis betrachten.


  // npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from 'playwright';
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  TurnstileRequest
} from '@zennolab_com/capmonstercloud-client';

// Einstellungen — durch eigene ersetzen
const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://www.example.com';
const SITE_KEY = 'xxxxx'; // beliebige Zeichenkette möglich
const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36';

// Proxy-Einstellungen
const proxy = {
  proxyType: 'http',
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Browser starten
  const browser = await chromium.launch({
    headless: false,
    proxy: proxy.proxyAddress ? {
      server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
      username: proxy.proxyLogin,
      password: proxy.proxyPassword
    } : undefined
  });

  // Kontext mit User-Agent und Fenstergröße erstellen (optional)
  const context = await browser.newContext({ userAgent: USER_AGENT, viewport: { width: 1280, height: 800 } });

  // Seite öffnen und URL laden
  const page = await context.newPage();
  const resp = await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Status der ersten Anfrage:', resp?.status());

  // HTML abrufen und in Base64 konvertieren für CapMonster
  const htmlBase64 = Buffer.from(await page.content(), 'utf-8').toString('base64');

  // Turnstile-Aufgabe erstellen, um cf_clearance zu erhalten
  const solveResult = await cmcClient.Solve(new TurnstileRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    cloudflareTaskType: 'cf_clearance',
    htmlPageBase64: htmlBase64,
    userAgent: USER_AGENT,
    proxy: proxy.proxyAddress ? proxy : undefined
  }));

  const cf_clearance = solveResult?.solution?.cf_clearance;
  if (!cf_clearance) {
    console.error('cf_clearance konnte nicht von CapMonster abgerufen werden:', solveResult);
    await browser.close();
    return;
  }
  console.log('cf_clearance erhalten:', cf_clearance);

  // cf_clearance-Cookie zum Browser-Kontext hinzufügen
  await context.addCookies([{
    name: 'cf_clearance',
    value: cf_clearance,
    domain: '.' + new URL(TARGET_URL).hostname,
    path: '/',
    httpOnly: true,
    secure: true
  }]);
  console.log('Cookie cf_clearance wurde erfolgreich hinzugefügt.');

  // Seite erneut mit gesetztem cf_clearance öffnen
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Status der Anfrage nach Setzen von cf_clearance:', resp2?.status());

  await browser.close();
  console.log('Skript beendet.');
}

main().catch(err => {
  console.error('Es ist ein Fehler aufgetreten:', err);
  process.exit(1);
});

Sie können die Captcha-Lösung auch direkt im Browser testen — mit der CapMonster-Cloud-Erweiterung. Sie zeigt den Prozess in Echtzeit und erfordert keinen Code. Verfügbar für Chrome und Firefox.

Wie man Cloudflare Challenge auf der eigenen Website einrichtet

Um sicher mit dem Challenge-System zu arbeiten, empfehlen wir, diesen Abschnitt zu lesen. Hier wird beschrieben, wie man die Prüfung einrichtet und anpasst.

1. Registrieren Sie sich oder melden Sie sich an und verbinden Sie Ihre Domain mit Cloudflare.

2. Aktivieren Sie die Challenge über eine WAF-Regel.

Navigieren Sie zu: Security → Custom Rules → Create rule

Mehr Informationen finden Sie hier.

Beispielbedingung (gesamte Seite „login“ prüfen):

http.request.uri.path contains "/login"

3. Wählen Sie die Aktion:

Managed Challenge (empfohlen) — das System entscheidet automatisch, ob dem Besucher eine Challenge angezeigt wird.

Sie können auch Interactive Challenge, Skip, Block oder JavaScript Challenge wählen. Weitere Informationen zu den Prüfungsarten finden Sie in der Dokumentation und können entscheiden, welche Art für Sie am besten geeignet ist.

Konfigurieren Sie die weiteren Optionen und klicken Sie auf Deploy.

Nach erfolgreicher Prüfung erhält der Nutzer ein cf_clearance-Cookie, das Wiederholungsprüfungen verhindert, wenn derselbe Browser erneut zugreift.

Wenn Sie das Turnstile-Widget auf Ihrer Website einbinden möchten, können Sie den folgenden Artikel lesen. Cloudflare Turnstile ermöglicht es Besuchern, die Bot-Prüfung ohne Captchas mit Bildern oder komplizierte Aufgaben zu bestehen und dabei ein Token zu erhalten, das bestätigt, dass der Benutzer ein Mensch ist.

Mögliche Fehler und Debugging

Falsche Domain oder Regelkonfiguration

Die Challenge wird nicht angezeigt. Prüfen Sie, ob die WAF-Regel dem richtigen URI/Pfad/Host zugeordnet ist.

Zeitüberschreitung beim Laden der Seite oder Challenge

Der Browser oder Client hat nicht auf die Antwort von Cloudflare gewartet. Erhöhen Sie die Timeouts.

Erneute Prüfung oder abgelaufene cf_clearance

Wenn ein abgelaufenes cf_clearance-Cookie verwendet wird, zeigt das System erneut eine Challenge.

Nach der Challenge folgt eine weitere Überprüfung

Die gleichzeitige Nutzung von Challenge + benutzerdefinierten Regeln kann zu Schleifen führen. Befolgen Sie die Empfehlungen von Cloudflare zur Fehlerbehebung.

Tests der Schutzstabilität

Führen Sie eine Anfrage ohne cf_clearance aus — die Challenge sollte ausgelöst werden.

Testen Sie den erneuten Zugriff mit gültigem cf_clearance — der Besucher sollte keine weiteren Prüfungen derselben oder niedrigeren Stufe erhalten.

Führen Sie Lasttests durch (z. B. mit k6 oder JMeter) — die Challenge sollte korrekt angezeigt werden und das WAF stabil bleiben.

Prüfen Sie die Serverreaktion bei abgelaufenen oder falschen Cookies. Erwartetes Ergebnis: erneute Challenge.

Tipps zu Sicherheit und Optimierung

Konfigurieren Sie WAF-Regeln sowie Managed/JS/Interactive Challenge entsprechend dem Risiko.

Konfigurieren Sie WAF-Regeln sowie Managed/JS/Interactive Challenge entsprechend dem Risiko.

Protokollieren Sie Sicherheitsereignisse und Challenge-Status, um Ursachen und Fehlalarme zu erkennen.

Protokollieren Sie Sicherheitsereignisse und Challenge-Status, um Ursachen und Fehlalarme zu erkennen.

Für Transparenz fügen Sie Links zur <b>Datenschutzerklärung</b> und zu den <b>Nutzungsbedingungen</b> von Cloudflare/Ihrer Website auf Challenge-Seiten hinzu.

Für Transparenz fügen Sie Links zur Datenschutzerklärung und zu den Nutzungsbedingungen von Cloudflare/Ihrer Website auf Challenge-Seiten hinzu.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Cloudflare Challenge reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Cloudflare Challenge identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Dokumentation: Cloudflare Challenge →

Dokumentation: CapMonster Cloud (Cloudflare Challenge) →

Was ist die Cloudflare CAPTCHA und wie löst man sie mit CapMonster Cloud? →

Wie Cloudflare automatischen Traffic erkennt: Schutz vor Bots →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

Cloudflare Challenge und CapMonster Cloud

Cloudflare Challenge
und CapMonster Cloud