Erweiterung für Browser

Für Unternehmen

Preise

Blog

Dokumentation

Deutsch

Cloudflare Waiting Room
und CapMonster Cloud

Lösung von Captchas, Integration auf der Website und Tests.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website Cloudflare Waiting Room eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von Cloudflare Waiting Room, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Cloudflare Waiting Room

Cloudflare Waiting Room ist eine virtuelle Warteschlange, die die Website vor Überlastung bei plötzlichem Traffic-Anstieg schützt. Wenn es zu viele Besucher gibt, werden „überschüssige“ Benutzer vorübergehend auf eine Warteseite geleitet, wo sie Informationen zu ihrer Position in der Schlange und der Wartezeit sehen. Sobald ein Platz frei wird, gelangen sie automatisch auf die Website.

Wie man Waiting Room mit CapMonster Cloud löst

Beim Testen des Waiting-Room-Mechanismus ist es wichtig sicherzustellen, dass die Warteschlange korrekt funktioniert und den Zugang zur Website regelt.

So können Sie dies überprüfen:

Öffnen Sie die Seite, auf der Waiting Room aktiviert ist, und stellen Sie sicher, dass die Warteschlange angezeigt wird, wenn das Benutzerlimit überschritten wird.
Versuchen Sie, die Website von mehreren Geräten oder Browsern gleichzeitig aufzurufen, um künstlich Last zu erzeugen – ein Teil der Anfragen sollte in die Warteschlange gestellt werden.
Überprüfen Sie, ob Benutzer, die in die Warteschlange geraten, die Warteseite sehen und anschließend automatisch zur Website zugelassen werden, wenn ein Platz frei wird.
Stellen Sie sicher, dass ein erneutes Aktualisieren der Seite den Benutzer nicht aus der Warteschlange wirft.

Für automatisierte Tests und Captcha-Erkennung können spezialisierte Dienste verwendet werden, wie z. B. CapMonster Cloud – ein Tool, das Captcha-Parameter entgegennimmt, diese auf seinen Servern verarbeitet und eine fertige Lösung zurückgibt. Diese Lösung (Token oder Cookie) kann in ein Formular oder den Browser eingefügt werden, um die Überprüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In dieser Phase übermitteln Sie Ihren API-Schlüssel, den Captcha-Typ und dessen Parameter. Der Dienst gibt eine eindeutige taskId zurück, über die später das Ergebnis abgerufen werden kann.

API-Anfrage senden

In der Anfrage zur Lösung des Cloudflare Waiting Rooms müssen folgende Parameter angegeben werden:

type - TurnstileTask;

websiteURL - Adresse der Seite, auf der sich die Prüfung befindet;

websiteKey - Cloudflare-Schlüssel auf der Zielseite;

cloudflareTaskType - wait_room;

htmlPageBase64 - HTML-Seite im Base64-Format, die den Titel <title>Waiting Room powered by Cloudflare</title> enthält;

userAgent - User-Agent des Browsers. Übermitteln Sie nur einen aktuellen UA vom Betriebssystem Windows;

Für diese Aufgabe ist auch die Verwendung Ihrer Proxys erforderlich:

proxyType :

http - gewöhnlicher HTTP/HTTPS-Proxy;
https - versuchen Sie diese Option, wenn „http“ nicht funktioniert (erforderlich für einige benutzerdefinierte Proxys);
socks4 - Proxy vom Typ SOCKS4;
socks5 - Proxy vom Typ SOCKS5;

proxyAddress - IP-Adresse des Proxys IPv4/IPv6;

proxyPort - Proxy-Port;

proxyLogin - Login des Proxy-Servers;

proxyPassword - Passwort des Proxy-Servers.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

cf_clearance-Substitution

Die erhaltene Lösung (Cookie cf_clearance) kann im Browser gesetzt oder zusammen mit der HTTP-Anfrage gesendet werden, indem sie im Header Cookie: cf_clearance= angegeben wird. Für die Automatisierung und Tests ist es zudem praktisch, Puppeteer, Selenium oder Playwright zu verwenden, die es ermöglichen, Benutzeraktionen zu emulieren, Cookies zu setzen und Formulare abzusenden.

Unten finden Sie ein Beispiel für eine Anfrage an Ihre Seite mit vorab erhaltenen Cookie-Werten. Dies ist nützlich für Tests: Sie können sowohl korrekte als auch absichtlich inkorrekte Werte übermitteln, um sicherzustellen, dass Ihre Logik zur Zugriffsverarbeitung und Validierung richtig funktioniert.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Es gibt auch eine großartige Möglichkeit, die Captcha-Erkennung mit der Browsererweiterung CapMonster Cloud zu testen. Sie ermöglicht es Ihnen, die Captcha-Funktion direkt auf der Seite schnell zu überprüfen und den Lösungsprozess in Echtzeit ohne Code zu verfolgen – verfügbar für Chrome und Firefox.

Wie man Cloudflare Waiting Room mit der eigenen Website verbindet

Um sicher zu verstehen, wie das Captcha auf Ihrer Website funktioniert, die Logik der Überprüfung zu begreifen, es neu zu verbinden oder neu zu konfigurieren, empfehlen wir Ihnen, diesen Abschnitt zu studieren. Darin wird der Prozess der Anbindung des Schutzes beschrieben – dies hilft Ihnen, sich schnell in allen Nuancen zurechtzufinden.

Anforderungen und Vorbereitung

Cloudflare-Plan: Waiting Room ist für Business und Enterprise verfügbar.
CDN und Proxying: Ihre Website muss mit Cloudflare verbunden sein, und der DNS-Eintrag für die Domain oder Subdomain muss auf proxied stehen.
Cookies: Besucher müssen Cookies unterstützen, da Cloudflare diese verwendet, um die Position in der Warteschlange zu verfolgen.
Entscheiden Sie, welche Seiten/Benutzer in die Warteschlange kommen und welche den Waiting Room umgehen (z. B. Administratoren, VIPs, bestimmte Pfade).

1. Registrieren Sie sich bei Cloudflare und binden Sie Ihre Website an.

2. Erstellen Sie im Bereich Traffic → Waiting Room eine neue Warteschlange:

3. Klicken Sie auf Create Waiting Room..

Geben Sie an:

Hostname / URL, wo der Waiting Room aktiv sein soll.
Name des Waiting Rooms (für die interne Verwaltung).
Maximale Anzahl gleichzeitig zugelassener Benutzer (optional, falls eine begrenzte Last erforderlich ist).

4. Passen Sie das Design der Warteseite an:

Sie können die Cloudflare-Vorlage oder eigenes HTML/CSS verwenden.
Fügen Sie ein Logo, Informationen zur Wartezeit und Anweisungen für Benutzer hinzu.

5. Speichern und aktivieren Sie den Waiting Room.

6. Konfiguration der Regeln (Rules)

Cloudflare ermöglicht es, bestimmten Traffic aus der Warteschlange auszuschließen.

Typische Umgehungsregeln (Bypass Rules):

IP-Adressen des Administrators: immer durchlassen.
Pfade/URL: statische Dateien (.js, .css, .png) oder bestimmte Seiten ausschließen.
Geo-Targeting: bestimmte Länder ausschließen.
Query String: bestimmte GET-Parameter ausschließen.

Beispiel für eine Pfad-Umgehungsregel im Dashboard

Gehen Sie zu Waiting Room → Manage Rules → Create new bypass rule.
Konfigurieren Sie:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Speichern und bereitstellen (Deploy).

Alle Umgehungsregeln ermöglichen es, Traffic von der Zählung aktiver Benutzer auszuschließen, damit er die Warteschlange nicht beeinflusst.

Erweiterte Möglichkeiten:

Scheduled Event: Aktivierung des Waiting Rooms nur zu bestimmten Zeiten (z. B. für Ausverkäufe).
Analytics: Verfolgung der Benutzeranzahl in der Warteschlange, der Wartezeit und des Durchsatzes.
Zusätzliche Hostnames/Paths: Ein Waiting Room kann auf mehreren Subdomains oder Pfaden arbeiten.

Verwaltung über API:

Die Cloudflare Waiting Room API ermöglicht es:

Umgehungsregeln zu erstellen, zu ändern und zu löschen.
Eine Liste der Regeln anzuzeigen.
Alle Einstellungen des Waiting Rooms programmgesteuert zu verwalten.

Beispiel für das Erstellen einer Umgehungsregel über die API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Funktionsprüfung

1) Öffnen Sie die Website in verschiedenen Browsern/Geräten.

2) Überprüfen Sie:

Erscheint der Waiting Room bei Überschreitung des Limits?
Bleibt die Position in der Warteschlange beim Aktualisieren der Seite erhalten?
Funktionieren die Umgehungsregeln (z. B. Admin-IP kommt ohne Wartezeit durch)?

Mögliche Fehler und Debugging

Ungültige Domain oder falsche Warteschlangenkonfiguration

Die Waiting-Room-Seite wird nicht angezeigt. Überprüfen Sie, ob die Regel der Warteschlange mit dem richtigen URI, Pfad oder Host verknüpft ist.

Zeitüberschreitung beim Laden der Seite oder des Warteschlangen-Tokens

Der Client hat nicht auf die Antwort des Servers gewartet. Erhöhen Sie die Timeouts in Tests und im Monitoring, um Verzögerungen korrekt zu verarbeiten.

Erneute Prüfung oder abgelaufenes Warteschlangen-Token

Wenn der Benutzer ein bereits abgelaufenes Token oder ungültige Cookies verwendet, zeigt das System erneut die Warteseite an.

Konflikt mit anderen Zugriffsprüfungen

Die gleichzeitige Verwendung von Waiting Room und anderen Autorisierungs-/Bot-Schutzregeln kann zu zyklischen Überprüfungen führen. Befolgen Sie die Empfehlungen zur Reihenfolge der Überprüfungen und zur Logik für das Umgehen von Benutzern.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Versuchen Sie, die Seite ohne spezielle Cookies abzurufen – der Benutzer sollte in den Waiting Room gelangen.

Testen Sie den erneuten Zugriff mit bereits gesetzten Cookies – der Benutzer sollte die Warteschlange umgehen und zum Hauptinhalt gelangen.

Führen Sie einen Lasttest durch (z. B. mit k6 oder JMeter) bei hoher Anfragerate – die Waiting-Room-Seite sollte korrekt angezeigt werden und der Warteschlangen-Server stabil bleiben.

Überprüfen Sie die Reaktion des Servers bei abgelaufenen oder inkorrekten Cookies/Tokens. Das erwartete Ergebnis ist, dass der Benutzer wieder auf die Warteseite gelangt.

Tipps zu Sicherheit und Optimierung

Konfigurieren Sie die Warteschlangenregeln und die TTL der Token entsprechend dem Lastniveau und den Risiken

Konfigurieren Sie die Warteschlangenregeln und die TTL der Token entsprechend dem Lastniveau und den Risiken

Speichern Sie alle Geheimnisse (z. B. Token-Signaturschlüssel) nur auf dem Server

Speichern Sie alle Geheimnisse (z. B. Token-Signaturschlüssel) nur auf dem Server

Protokollieren Sie Warteschlangenereignisse und den Durchgangsstatus, um zu verstehen, warum Benutzer in den Waiting Room gelangen, und um Fehlalarme zu erkennen.

Protokollieren Sie Warteschlangenereignisse und den Durchgangsstatus, um zu verstehen, warum Benutzer in den Waiting Room gelangen, und um Fehlalarme zu erkennen.

Fügen Sie aus Transparenzgründen Links zur <b>Datenschutzerklärung</b> und zu den <b>Nutzungsbedingungen der Website auf den Waiting-Room-Seiten</b> hinzu.

Fügen Sie aus Transparenzgründen Links zur Datenschutzerklärung und zu den Nutzungsbedingungen der Website auf den Waiting-Room-Seiten hinzu.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von Cloudflare Waiting Room reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie Cloudflare Waiting Room identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Dokumentation zu Cloudflare Waiting Room →

Dokumentation zu CapMonster Cloud (Arbeit mit Cloudflare Waiting Room) →

Was ist Cloudflare CAPTCHA und wie man es mit CapMonster Cloud löst →

Wie Cloudflare automatisierten Traffic erkennt: Schutz der Website vor Bots →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

Cloudflare Waiting Room und CapMonster Cloud

Wie man Waiting Room mit CapMonster Cloud löst

Cloudflare Waiting Room
und CapMonster Cloud