Cloudflare Turnstile
und CapMonster Cloud

CAPTCHA-Lösung, Website-Installation und Testen.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Cloudflare Turnstile eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Cloudflare Turnstile, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Cloudflare Turnstile

Cloudflare Turnstile ist ein modernes CAPTCHA von Cloudflare, das Websites vor automatisierten Aktionen schützt. Für Website-Besucher ist die Überprüfung nahezu unsichtbar, es müssen keine Aufgaben gelöst werden: Normalerweise reicht ein Klick auf die Checkbox, wonach das System entscheidet, ob der Besucher durchgelassen oder bei Verdacht auf einen Bot blockiert wird. Im Gegensatz zu Cloudflare Challenge wird das Turnstile-CAPTCHA direkt auf der Website platziert und nicht in einem separaten Fenster – üblicherweise in Anmelde- oder Registrierungsformularen.

Wie man Cloudflare Turnstile über CapMonster Cloud löst

Beim Testen von Formularen mit Cloudflare Turnstile müssen Sie häufig prüfen, ob die Captcha korrekt eingebunden ist und funktioniert.

Sie können die auf Ihrer Seite eingebettete Captcha manuell testen.

Öffnen Sie die Formularseite und stellen Sie sicher, dass die Captcha angezeigt wird.
Versuchen Sie, das Formular ohne Lösung abzuschicken – der Server sollte einen Fehler melden.
Nach einer erfolgreichen Lösung muss das Formular ohne Probleme übermittelt werden.

Für automatisches Lösen können Sie Tools wie CapMonster Cloud einsetzen. Der Dienst nimmt die Captcha-Parameter entgegen, verarbeitet sie auf seinen Servern und liefert einen einsatzbereiten Token zurück. Diesen Token setzen Sie ins Formular ein, um die Prüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt übergeben Sie Ihren API-Schlüssel, den CAPTCHA-Typ und dessen Parameter. Der Service gibt eine eindeutige taskId zurück, mit der später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zur Lösung von Cloudflare Turnstile müssen folgende Parameter angegeben werden:

type - TurnstileTask;

websiteURL - Adresse der Seite, auf der das CAPTCHA gelöst wird;

websiteKey - Turnstile-Schlüssel.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "TurnstileTask",
    "websiteURL": "http://tsmanaged.zlsupport.com",
    "websiteKey": "0x4AAAAAAABUYP0XeMJF0xoy"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "token": "0.iGX3xsyFCkbGePM3jP4P4khLo6TrLukt8ZzBvwuQOvbC...f61f3082"
  }
}

Token auf der Seite einsetzen

Nachdem der Server das Turnstile-Token von CapMonster Cloud erhalten hat, muss es an die Website übermittelt werden. Der Server überprüft die Daten und bestätigt, dass das CAPTCHA erfolgreich gelöst wurde. Für die Automatisierung können HTTP-Anfragen oder Tools wie Puppeteer, Selenium oder Playwright verwendet werden – sie ermöglichen es, Werte in das Formular einzufügen und die Anfrage zu senden, wobei Benutzeraktionen emuliert werden.

Cloudflare Turnstile-Erkennung mit vorgefertigten Bibliotheken

Der CapMonster Cloud-Service bietet vorgefertigte Bibliotheken für die komfortable Arbeit in den Sprachen Python, JavaScript (Node.js) und C#.

Python

JavaScript

Lösung, Token-Einfügung und Formularversand

Beispiel in Node.js für den vollständigen Zyklus der CAPTCHA-Erkennung auf Ihrer Webseite. Mögliche Ansätze: HTTP-Anfragen verwenden, um HTML und CAPTCHA-Parameter zu erhalten, die Antwort zu senden und das Ergebnis zu verarbeiten; oder mit Automatisierungstools (z.B. Playwright) – Seite öffnen, auf CAPTCHA warten, Parameter senden (zum Testen können Sie sowohl korrekte als auch fehlerhafte Daten senden), Lösung über CapMonster Cloud-Client erhalten, Token ins Formular einfügen und Ergebnis sehen.

// npm install playwright @zennolab_com/capmonstercloud-client

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, TurnstileRequest } from "@zennolab_com/capmonstercloud-client";

async function main() {
  // 1. Turnstile-Lösung über CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: 'YOUR_CAPMONSTER_API_KEY' })
  );

  const turnstileRequest = new TurnstileRequest({
    websiteURL: 'http://tsmanaged.zlsupport.com',
    websiteKey: '0x4AAAAAAABUYP0XeMJF0xoy',
  });

  const result = await cmcClient.Solve(turnstileRequest);
  const token = result.solution.token;
  console.log('Turnstile-Token erhalten:', token);

  // 2. Playwright starten
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();
  await page.goto('http://tsmanaged.zlsupport.com');

  // 3. Login und Passwort ausfüllen
  await page.fill('#username', 'your_username');
  await page.fill('#password', 'your_password');

  // 4. Warten auf das versteckte Token-Feld
  await page.waitForSelector('#token', { state: 'attached', timeout: 60000 });

  // 5. Token einfügen und Feld sichtbar machen
  await page.evaluate((t) => {
    const tokenInput = document.querySelector('#token');
    if (tokenInput) {
      tokenInput.type = 'text';  // Feld sichtbar machen
      tokenInput.value = t;      // Token einfügen
      console.log('Token ins Feld token eingefügt');
    } else {
      console.error('Feld #token nicht gefunden');
    }
  }, token);

  // 6. Überprüfen, dass das Token tatsächlich eingefügt wurde
  const checkValue = await page.$eval('#token', el => el.value);
  console.log('Überprüfung des Token-Werts:', checkValue);

  // 7. Formular absenden
  await page.click('button[type="submit"]');
  console.log('Formular mit Turnstile-Token abgeschickt');

  // await browser.close();
}

main().catch(err => console.error(err));

Es gibt auch eine hervorragende Möglichkeit, die CAPTCHA-Erkennung mit der CapMonster Cloud-Browsererweiterung zu testen, die es ermöglicht, die CAPTCHA-Funktionalität direkt auf der Seite schnell zu überprüfen und den Lösungsprozess in Echtzeit ohne Code zu verfolgen – verfügbar für die Installation in Chrome und Firefox.

Wie man Cloudflare Turnstile auf der eigenen Website einbindet

Um sich sicher in der Funktionsweise des CAPTCHAs auf Ihrer Website zurechtzufinden, die Logik seiner Überprüfung zu verstehen, es erneut einzubinden oder neu zu konfigurieren, empfehlen wir Ihnen, diesen Abschnitt zu studieren. Er beschreibt den Prozess der Schutzeinbindung – dies hilft, alle Nuancen schnell zu verstehen.

1. Gehen Sie zur Seite Cloudflare Turnstile, klicken Sie auf Jetzt starten.

2. Registrieren Sie sich beim Service.

3. Klicken Sie in Turnstile Widgets auf die blaue Schaltfläche Add Widget.

HowTo Connect image 1

4. Konfigurieren Sie Cloudflare Turnstile, geben Sie an:

Widget name – Name des CAPTCHAs (zur Orientierung, z.B. Login form).
Hostname Management – Domains, auf denen das CAPTCHA funktioniert (z.B. example.com).
Widget Mode:
- Managed – optimale Variante, CAPTCHA entscheidet selbst, ob die Checkbox angezeigt wird.
- Non-interactive – Überprüfung erfolgt automatisch, ohne Klicks.
- Invisible – vollständig unsichtbar.
Pre-clearance – wählen Sie Yes, wenn die Website über Cloudflare Proxy läuft (um CAPTCHA nicht erneut zu durchlaufen).

5. Nach Erstellung des Widgets erhalten Sie zwei Schlüssel – Site Key und Secret Key.

HowTo Connect image 2

6. Clientseitigen Teil einbinden

1) Turnstile-Skript einbinden

Automatisches Rendering (Widget wird beim Laden der Seite selbst erstellt):

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Programmgesteuert (Sie erstellen das Widget selbst über JavaScript):

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js?render=explicit" defer></script>

Wichtig: Das Skript muss von der exakten URL geladen werden. Proxy oder Cache können zu Fehlern führen.

2) Container für Widget erstellen

Automatisch:

<div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>"></div>

Programmgesteuert:

<div id="turnstile-container"></div>

3) Widget-Konfiguration

Über data-Attribute:

<div class="cf-turnstile"
            data-sitekey="<YOUR_SITEKEY>"
            data-theme="light"
            data-size="normal"
            data-callback="onSuccess">
          </div>

Über JavaScript:

const widgetId = turnstile.render("#turnstile-container", {
  sitekey: "<YOUR_SITEKEY>",
  theme: "light",
  size: "normal",
  callback: token => console.log("Token:", token)
});

4) Arbeit mit Token

const token = turnstile.getResponse(widgetId);      // Token abrufen
const isExpired = turnstile.isExpired(widgetId);    // Ablauf überprüfen
turnstile.reset(widgetId);                          // Zurücksetzen
turnstile.remove(widgetId);                         // Entfernen
turnstile.execute("#turnstile-container");         // Manueller Start

5) Integration mit Formular

<form id="my-form" method="POST">
  <input type="hidden" name="cf-turnstile-response" id="cf-turnstile-response">
  <button type="submit">Absenden</button>
</form>

<script>
function onSuccess(token) {
  document.getElementById("cf-turnstile-response").value = token;
}
</script>

Codebeispiel

<title>Turnstile Example</title>
  <!-- Turnstile-Skript einbinden -->
  <script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
</head>
<body>
  <h1>Formularbeispiel mit Turnstile</h1>

  <form id="my-form">
    <label for="username">Name:</label>
    <input type="text" name="username" id="username" required>
    
    <!-- Container für Turnstile -->
    <div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>" data-callback="onTurnstileSuccess"></div>
    
    <button type="submit">Absenden</button>
  </form>

  <script>
    // Callback, der nach Durchlaufen des CAPTCHAs aufgerufen wird
    function onTurnstileSuccess(token) {
      console.log("Turnstile-Token erhalten:", token);
      // Token in verstecktes Formularfeld speichern (optional)
      document.getElementById("cf-turnstile-token")?.remove();
      const input = document.createElement("input");
      input.type = "hidden";
      input.name = "cf-turnstile-response";
      input.id = "cf-turnstile-token";
      input.value = token;
      document.getElementById("my-form").appendChild(input);
    }

    // Formular absenden
    document.getElementById("my-form").addEventListener("submit", async (e) => {
      e.preventDefault();

      const formData = new FormData(e.target);
      const response = await fetch("/submit-form", {
        method: "POST",
        body: formData
      });

      const result = await response.json();
      if(result.success){
        alert("Formular erfolgreich abgeschickt und Token überprüft!");
      } else {
        alert("Fehler bei der Turnstile-Token-Überprüfung. Versuchen Sie es erneut.");
        // Widget zurücksetzen, damit der Benutzer das CAPTCHA erneut durchlaufen kann
        turnstile.reset();
      }
    });
  </script>
</body>
</html>

6) Serverseitigen Teil konfigurieren

Prozess der serverseitigen Überprüfung:

Client: Benutzer durchläuft Turnstile auf der Seite → Token wird erstellt.
Formular wird abgeschickt: Token wird zusammen mit Formulardaten an den Server gesendet.
Server: Führt POST-Anfrage an Cloudflare Siteverify-API mit Token und Secret durch.
Cloudflare: Gibt JSON mit Ergebnis zurück (success: true/false) und zusätzlichen Informationen (action, hostname, Durchlaufzeit).
Server: Entscheidet, ob die Benutzeraktion erlaubt oder abgelehnt wird.

Siteverify-API:

POST

https://challenges.cloudflare.com/turnstile/v0/siteverify

Anfrageparameter:

secret (erforderlich): Geheimer Turnstile-Schlüssel aus dem Cloudflare-Panel
response (erforderlich): Auf dem Client erhaltenes Token
remoteip (optional): IP-Adresse des Benutzers (empfohlen)
idempotency_key (optional): Eindeutige UUID zum Schutz vor wiederholten Überprüfungen

Token-Eigenschaften:

Maximale Länge: 2048 Zeichen
Gültig für 5 Minuten
Einmalig
Bei Ablauf oder erneuter Überprüfung gibt die API den Fehler timeout-or-duplicate zurück

Überprüfungsbeispiel in PHP

<?php
function validateTurnstile($token, $secret, $remoteip = null) {
    $url = 'https://challenges.cloudflare.com/turnstile/v0/siteverify';
    $data = ['secret' => $secret, 'response' => $token];
    if ($remoteip) $data['remoteip'] = $remoteip;

    $options = [
        'http' => [
            'header'  => "Content-type: application/x-www-form-urlencoded
",
            'method'  => 'POST',
            'content' => http_build_query($data)
        ]
    ];

    $response = file_get_contents($url, false, stream_context_create($options));
    if ($response === FALSE) {
        return ['success' => false, 'error-codes' => ['internal-error']];
    }

    return json_decode($response, true);
}

// Verwendung
$secret_key = 'YOUR_SECRET_KEY';
$token = $_POST['cf-turnstile-response'] ?? '';
$remoteip = $_SERVER['REMOTE_ADDR'];

$result = validateTurnstile($token, $secret_key, $remoteip);

if($result['success']){
    echo "Formular erfolgreich abgeschickt!";
} else {
    echo "Überprüfungsfehler: " . implode(', ', $result['error-codes']);
}
?>

Alle detaillierten Anleitungen zur Installation und Konfiguration von Cloudflare Turnstile, einschließlich Client- und Server-Integration, Codebeispiele, Fehlerbeschreibungen und Sicherheitsempfehlungen, finden Sie in der offiziellen Cloudflare-Dokumentation.

Mögliche Fehler und Debugging

Fehlerhafte Parameter

CAPTCHA wird nicht angezeigt oder gibt Fehler wie invalid-input-secret, missing-input-response, invalid-input-response zurück. Überprüfen Sie die Aktualität von sitekey und secret key sowie die Einstellungen im Cloudflare Dashboard.

Lösungs-Timeout

Token ist abgelaufen (gültig für 300 Sekunden) oder wurde nicht rechtzeitig erhalten. Stellen Sie stabile Verbindung und korrekte API-Integration sicher.

Leeres oder falsches Token

Parameter cf-turnstile-response fehlt oder ist fehlerhaft. Überprüfen Sie die Token-Übergabe an das Formular und den Server.

Antwort success=false

Token ist ungültig, abgelaufen oder bereits verwendet. Jedes Token kann nur einmal überprüft werden. Aktivieren Sie die Protokollierung von Siteverify-Anfragen und -Antworten für die Analyse.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Versuchen Sie, die Anfrage ohne CAPTCHA-Lösung auszuführen – der Server sollte success: false zurückgeben.

Führen Sie einen Lasttest durch (z.B. mit k6 oder JMeter) bei einer Geschwindigkeit von über 100+ Anfragen pro Sekunde. Turnstile sollte Anfragen korrekt verarbeiten und der Server sollte Token stabil über die Siteverify-API überprüfen

Überprüfen Sie die Reaktion auf abgelaufene oder erneut gesendete Token – erwartete API-Antwort: success: false und error-codes: ["timeout-or-duplicate"].

Tipps zu Sicherheit und Optimierung

Überprüfen Sie Token nur auf dem Server, rufen Sie niemals die Siteverify-API vom Frontend aus auf – dies würde Ihren geheimen Schlüssel offenlegen.

Überprüfen Sie Token nur auf dem Server, rufen Sie niemals die Siteverify-API vom Frontend aus auf – dies würde Ihren geheimen Schlüssel offenlegen.

Verwenden Sie Umgebungsvariablen oder ein Secret-Management-System, anstatt Schlüssel im Code zu speichern.

Verwenden Sie Umgebungsvariablen oder ein Secret-Management-System, anstatt Schlüssel im Code zu speichern.

Überprüfen Sie zusätzliche Felder (<b>hostname</b>, <b>action</b>), um sicherzustellen, dass die Anfrage von Ihrer Website kam.

Überprüfen Sie zusätzliche Felder (hostname, action), um sicherzustellen, dass die Anfrage von Ihrer Website kam.

Verwenden Sie HTTPS – alle Aufrufe an Siteverify sollten über eine gesicherte Verbindung erfolgen.

Verwenden Sie HTTPS – alle Aufrufe an Siteverify sollten über eine gesicherte Verbindung erfolgen.

Implementieren Sie Fehlerbehandlung – zeigen Sie bei API-Nichtverfügbarkeit eine verständliche Meldung ohne Offenlegung interner Daten.

Implementieren Sie Fehlerbehandlung – zeigen Sie bei API-Nichtverfügbarkeit eine verständliche Meldung ohne Offenlegung interner Daten.

Beschränken Sie die Verwendung des Sitekey nach Domains.

Fügen Sie dem Formular Links zur <b>Datenschutzrichtlinie</b> und den <b>Nutzungsbedingungen von Cloudflare</b> hinzu, falls dies von Ihrer Organisation oder Datenschutzrichtlinie gefordert wird.

Fügen Sie dem Formular Links zur Datenschutzrichtlinie und den Nutzungsbedingungen von Cloudflare hinzu, falls dies von Ihrer Organisation oder Datenschutzrichtlinie gefordert wird.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Cloudflare Turnstile reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Cloudflare Turnstile identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Cloudflare Turnstile-Dokumentation →

Bei Cloudflare registrieren →

Bei CapMonster Cloud registrieren →

CapMonster Cloud-Dokumentation (Arbeit mit Cloudflare Turnstile) →

Was ist Cloudflare CAPTCHA und wie löst man es mit CapMonster Cloud →

Wie Cloudflare automatischen Traffic erkennt: Website-Schutz vor Bots →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

Cloudflare Turnstile und CapMonster Cloud

Wie man Cloudflare Turnstile über CapMonster Cloud löst

Cloudflare Turnstile
und CapMonster Cloud