reCAPTCHA v2 Enterprise
und CapMonster Cloud

Captcha-Lösung, Website-Integration und End-to-End-Tests.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website reCAPTCHA v2 Enterprise eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von reCAPTCHA v2 Enterprise, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise ist die Unternehmensausgabe des klassischen Google-Schutzes gegen Spam und automatisierte Angriffe. Sie erkennt zuverlässiger, ob ein Mensch oder ein Bot auf der Seite aktiv ist, und nutzt die Google-Cloud-API zur Tokenvalidierung. Optisch gleicht sie fast vollständig der normalen v2 mit Checkbox und Bildaufgaben, lädt jedoch https://www.google.com/recaptcha/enterprise.js für zusätzliche Sicherheit.

So lösen Sie reCAPTCHA v2 Enterprise mit CapMonster Cloud

Beim Testen von Formularen mit reCAPTCHA v2 Enterprise müssen Sie häufig prüfen, ob die Captcha korrekt eingebunden ist und funktioniert.

Sie können die auf Ihrer Seite eingebettete Captcha manuell testen.

Öffnen Sie die Formularseite und stellen Sie sicher, dass die Captcha angezeigt wird.
Versuchen Sie, das Formular ohne Lösung abzuschicken – der Server sollte einen Fehler melden.
Nach einer erfolgreichen Lösung muss das Formular ohne Probleme übermittelt werden.

Für automatisches Lösen können Sie Tools wie CapMonster Cloud einsetzen. Der Dienst nimmt die Captcha-Parameter entgegen, verarbeitet sie auf seinen Servern und liefert einen einsatzbereiten Token zurück. Diesen Token setzen Sie ins Formular ein, um die Prüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt senden Sie Ihren API-Schlüssel, den Captcha-Typ und die Parameter. Der Dienst gibt eine eindeutige taskId zurück, über die Sie später das Ergebnis abrufen.

API-Anfrage senden

Ihre Anfrage zum Lösen von reCAPTCHA v2 Enterprise muss enthalten:

type - RecaptchaV2EnterpriseTask;

websiteURL - die URL der Seite mit der Captcha;

websiteKey - der auf der Seite angegebene Sitekey;

enterprisePayload - geben Sie diesen Wert an, wenn Ihr reCAPTCHA-Enterprise-Widget ein zusätzliches Feld s in dem Objekt übermittelt, das zusammen mit dem sitekey an grecaptcha.enterprise.render gesendet wird;

pageAction - der Action-Wert, den Ihr Widget an Google sendet. Standard: verify.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Token auf der Seite einsetzen

Setzen Sie den zurückgegebenen Token ("gRecaptchaResponse") in ein verborgenes Formularfeld oder übergeben Sie ihn an eine JS-Funktion, um die Lösung zu bestätigen. Danach akzeptiert der Server das Formular. Für die Automatisierung können Sie Puppeteer, Selenium oder Playwright verwenden, um Benutzeraktionen zu emulieren, Token einzusetzen und Formulare abzusenden.

Statt eines Tokens können Sie auch die klickbasierte Lösung nutzen. Details finden Sie in der Dokumentation von CapMonster Cloud.

reCAPTCHA v2 Enterprise mit fertigen Bibliotheken lösen

CapMonster Cloud stellt SDKs für Python, JavaScript (Node.js) und C# für einen schnellen Start bereit.

Python

JavaScript

Lösen, Token einfügen und Formular senden

Ein Node.js-Beispiel, das den kompletten Captcha-Lifecycle auf Ihrer Seite zeigt. Sie können HTTP-Anfragen verwenden, um HTML und Parameter abzurufen, die Antwort zu senden und das Ergebnis zu verarbeiten, oder Automatisierungstools (z. B. Playwright) einsetzen, um die Seite zu öffnen, auf die Captcha zu warten, Parameter zu senden (auch mit Testdaten), das Ergebnis über den CapMonster-Client zu erhalten, den Token einzusetzen und die Ausgabe zu prüfen.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Seite mit der Captcha öffnen
  await page.goto('https://example.com');

  // 3. CapMonster-Cloud-Client erstellen
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Anfrage zum Lösen konfigurieren
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Optionaler Enterprise-Parameter
  });

  // 5. Captcha über CapMonster lösen
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Captcha-Token:', token);

  // 6. Token in ein Hidden-Feld einfügen
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Optional) Formular absenden — Selektor anpassen
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Mit der CapMonster-Cloud-Browsererweiterung testen Sie Captchas direkt auf der Seite und verfolgen den Lösungsprozess in Echtzeit – ganz ohne Code. Erhältlich für Chrome und Firefox.

So verbinden Sie reCAPTCHA v2 Enterprise mit Ihrer Website

Um zu verstehen, wie das Captcha auf Ihrer Website funktioniert, wie sich die Validierung verhält und wie Sie es erneut verbinden oder neu konfigurieren können, lesen Sie diesen Abschnitt. Er führt Sie durch die gesamte Schutzeinrichtung, damit Sie schnell alle Details abdecken können.

Da reCAPTCHA Enterprise auf Google Cloud läuft, müssen Sie zuerst ein Projekt in der Google Cloud Console erstellen:

1. Gehen Sie zur Google Cloud Console.

2. Wählen Sie im oberen Menü ein bestehendes Projekt oder klicken Sie auf Neues Projekt.

3. Geben Sie einen Projektnamen ein, wählen Sie Ihre Organisation aus und bestätigen Sie die Erstellung.

HowTo Connect image 1

4. Öffnen Sie die API-Seite: reCAPTCHA Enterprise API und klicken Sie auf Aktivieren.

5. Gehen Sie in der Console zu Schlüssel erstellen und klicken Sie auf Schlüssel erstellen.

HowTo Connect image 2

6. Konfigurieren Sie die Grundeinstellungen:

Anzeigename: ein beliebiges Label, das Ihnen hilft, den Schlüssel zu erkennen (z. B. MySite Login Page).
Anwendungstyp: wählen Sie WEB (Sites) oder Mobile App. Dies kann später nicht mehr geändert werden.
Domainliste: fügen Sie die Domains hinzu, auf denen dieser Schlüssel verwendet wird.

Öffnen Sie anschließend Zusätzliche Einstellungen, aktivieren Sie Werden Sie Challenges verwenden? und schalten Sie die Checkbox-Challenge ein.

HowTo Connect image 3

7. Klicken Sie auf Erstellen. Sie erhalten einen Schlüssel, den Sie auf Ihrer Website einbinden müssen, um den Schutz zu aktivieren.

HowTo Connect image 3

8. Fügen Sie das Skript auf Ihrer Seite ein.

Beispiel für einen HTML-Snippet, den Sie in Ihre Website einbetten können

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Validieren Sie die Antwort auf dem Server.

PHP-Beispiel

Das Token (g-recaptcha-response) wird an das Backend gesendet.
Es ist 2 Minuten lang gültig, validieren Sie es daher so schnell wie möglich! Für eine sichere Kommunikation mit der API empfehlen wir die offiziellen Google-Cloud-Bibliotheken:

<?php
require 'vendor/autoload.php';

// Installieren Sie die Google-Cloud-Bibliotheken mit Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Validieren Sie das reCAPTCHA-Enterprise-Token und erhalten Sie den Risikoscore.
 *
 * @param string $recaptchaKey Ihr reCAPTCHA-Schlüssel für Website/App
 * @param string $token Vom Client empfangenes Token
 * @param string $projectId Google-Cloud-Projekt-ID
 * @param string $action Mit dem Token verknüpfter Aktionsname
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Erstellen Sie das Assessment-Event
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Token ist ungültig: ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Risikowert: ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'Die Aktion im reCAPTCHA-Tag stimmt nicht mit dem erwarteten Wert überein';
        }
    } catch (Exception $e) {
        echo 'Fehler bei der Überprüfung von reCAPTCHA: ' . $e->getMessage();
    }
}

// Rufen Sie die Funktion mit den Variablen auf
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Mögliche Fehler und Debugging

Ungültige Seite oder Schlüssel

Die Captcha lädt nicht oder liefert invalid-input-secret.

Zeitüberschreitung

Der Server hat die Antwort nicht rechtzeitig erhalten. Erhöhen Sie das Timeout.

Leerer Token

Beim Übergeben des Ergebnisses an die Seite ist ein Fehler aufgetreten.

Response success=false

Der Token ist abgelaufen, erneut verwendet oder manipuliert. Aktivieren Sie Request-Logging und prüfen Sie das Feld error-codes in der Google-Antwort.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Versuchen Sie, eine Anfrage ohne gelöstes Captcha auszuführen – der Server sollte success: false. zurückgeben.

Führen Sie einen Lasttest durch (z. B. mit k6 oder JMeter) bei einer Rate von über 100 Anfragen pro Sekunde – das Captcha sollte korrekt angezeigt werden und das Validierungssystem stabil bleiben.

Überprüfen Sie die Reaktion des Servers bei einem abgelaufenen oder erneut gesendeten Token – die erwartete Antwort sollte 403 Forbidden.

Tipps zu Sicherheit und Optimierung

Speichern Sie den Secret Key nur auf dem Server und geben Sie ihn nicht an die Client-Seite weiter.

Protokollieren Sie die Fehlercodes (error-codes), um zu verstehen, warum bestimmte Prüfungen fehlgeschlagen sind.

Fügen Sie am unteren Rand des Formulars Links zur Datenschutzerklärung und zu den Nutzungsbedingungen von Google hinzu, wie es die Lizenz verlangt.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von reCAPTCHA v2 Enterprise reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie reCAPTCHA v2 Enterprise identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Projekt anlegen und mehr über reCAPTCHA v2 Enterprise erfahren →CapMonster-Cloud-Dokumentation (reCAPTCHA v2 Enterprise) →reCAPTCHA Enterprise mit CapMonster Cloud lösen: Schritt-für-Schritt-Anleitung →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

reCAPTCHA v2 Enterprise und CapMonster Cloud

So lösen Sie reCAPTCHA v2 Enterprise mit CapMonster Cloud

reCAPTCHA v2 Enterprise
und CapMonster Cloud