Erweiterung für Browser

Für Unternehmen

Preise

Blog

Dokumentation

Deutsch

reCAPTCHA v2
und CapMonster Cloud

Captcha-Lösung, Einbindung auf der Website und End-to-End-Tests.

Sie haben eine Website mit eingebauter Captcha- oder Bot-Schutzlösung übernommen, aber keinen Zugriff auf den Quellcode? Dann stellt sich schnell die Frage: Welche Lösung ist installiert, ist sie korrekt konfiguriert und wie lässt sie sich testen?

In diesem Artikel haben wir versucht, alle wichtigen Fragen zu beantworten. Der erste Schritt bei der Lösung der Aufgabe besteht darin festzustellen, welches Schutzsystem eingesetzt wird. Dazu können Sie die Liste beliebter Captchas und Anti-Bot-Schutzsysteme heranziehen, in der visuelle Beispiele und zentrale Merkmale aufgeführt sind, die Ihnen helfen, schnell zu erkennen, womit Sie es zu tun haben.

Wenn Sie feststellen, dass auf Ihrer Website reCAPTCHA V2 eingesetzt wird, besteht der nächste Schritt darin, seine Eigenschaften und Funktionsweise genauer zu untersuchen. Ebenfalls in diesem Artikel finden Sie eine Anleitung zur Integration von reCAPTCHA V2, damit Sie vollständig verstehen, wie das System auf Ihrer Website arbeitet. So können Sie nicht nur den aktuellen Schutz besser einschätzen, sondern auch seine Wartung vorausschauend planen.

Was ist Google reCAPTCHA v2

reCAPTCHA v2 ist ein Schutzsystem von Google, das Spam und andere automatisierte Aktionen blockieren soll, die einer Website schaden können. Es hilft, echte Besucher von Bots zu unterscheiden und hält Ihre Webressource sicher und stabil.

Beispiele von reCAPTCHA V2

reCAPTCHA v2

Die klassische Checkbox-Captcha, bei der der Nutzer bestätigen muss, dass er ein Mensch ist. Manchmal erscheint zusätzlich ein Pop-up mit Aufgaben, zum Beispiel bestimmte Bilder auszuwählen.

reCAPTCHA v2 Invisible

Eine unsichtbare Captcha, die automatisch prüft, ohne dass der Nutzer eingreifen oder auf die Checkbox klicken muss.

reCAPTCHA v2 Enterprise

Enterprise-Version mit zusätzlichen Kontroll- und Sicherheitsfunktionen.

So lösen Sie reCAPTCHA v2 mit CapMonster Cloud

Beim Testen von Formularen mit reCAPTCHA V2 müssen Sie häufig prüfen, ob die Captcha korrekt eingebunden ist und funktioniert.

Sie können die auf Ihrer Seite eingebettete Captcha manuell testen.

Öffnen Sie die Formularseite und stellen Sie sicher, dass die Captcha angezeigt wird.
Versuchen Sie, das Formular ohne Lösung abzuschicken – der Server sollte einen Fehler melden.
Nach einer erfolgreichen Lösung muss das Formular ohne Probleme übermittelt werden.

Für automatisches Lösen können Sie Tools wie CapMonster Cloud einsetzen. Der Dienst nimmt die Captcha-Parameter entgegen, verarbeitet sie auf seinen Servern und liefert einen einsatzbereiten Token zurück. Diesen Token setzen Sie ins Formular ein, um die Prüfung ohne Benutzerinteraktion zu bestehen.

Die Arbeit mit CapMonster Cloud über die API umfasst in der Regel folgende Schritte:

Aufgabe erstellen

In diesem Schritt senden Sie Ihren API-Schlüssel, den Captcha-Typ und die Parameter. Der Dienst gibt eine eindeutige taskId zurück, mit der Sie später das Ergebnis abrufen.

API-Anfrage senden

Ihre Anfrage zum Lösen von reCAPTCHA v2 muss die folgenden Parameter enthalten:

type - RecaptchaV2Task;

websiteURL - die Seitenadresse, auf der die Captcha erscheint;

websiteKey - der Sitekey, der auf Ihrer Seite mit der Captcha angegeben ist.

Weitere Details zu den Parametern und wie Sie sie vor dem Senden automatisch erfassen, finden Sie in der CapMonster-Cloud-Dokumentation.

Endpunkt zum Versenden der Aufgabe:

https://api.capmonster.cloud/createTask

Beispielanfrage:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

Antwort:

{
  "errorId":0,
  "taskId":407533072
}

Ergebnis empfangen

Nachdem die Aufgabe erstellt wurde, fragen Sie regelmäßig den Lösungsstatus ab.

Adresse für den Erhalt des Ergebnisses:

https://api.capmonster.cloud/getTaskResult

Beispielanfrage:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Antwort:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

Token auf der Seite einsetzen

Der zurückgegebene Token (der Wert "gRecaptchaResponse") kann in ein verstecktes Formularfeld eingefügt oder an eine JS-Funktion auf Ihrer Seite übergeben werden, um die Lösung zu bestätigen. Danach akzeptiert der Server das Formular als korrekt. Zur Automatisierung nutzen Sie Puppeteer, Selenium oder Playwright, um Nutzeraktionen zu emulieren, Token einzusetzen und Formulare zu senden.

Statt eines Tokens können Sie die klickbasierte Lösungsmethode verwenden. Weitere Informationen finden Sie in der Dokumentation von CapMonster Cloud.

reCAPTCHA v2 mit fertigen Bibliotheken lösen

CapMonster Cloud stellt SDKs für die komfortable Arbeit mit Python, JavaScript (Node.js) und C# bereit.

Python

JavaScript

Lösen, Token einsetzen und Formular absenden

Ein Node.js-Beispiel, das den gesamten Captcha-Lifecycle auf Ihrer Seite abdeckt. Mögliche Ansätze: HTTP-Anfragen verwenden, um HTML und Captcha-Parameter zu holen, die Antwort senden und das Ergebnis verarbeiten; oder Automatisierungstools (z. B. Playwright) nutzen, um die Seite zu öffnen, auf die Captcha zu warten, Parameter zu senden (mit gültigen oder ungültigen Daten testen), das Ergebnis per CapMonster-Client zu erhalten, den Token ins Formular einzusetzen und das Resultat zu beobachten.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Captcha lösen
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // Token einsetzen und Formular senden (ersetzen Sie den benötigten Selektor)
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('Captcha gelöst und Formular gesendet!');
})();

Sie können die Captcha-Erkennung auch mit der CapMonster-Cloud-Browsererweiterung testen. Damit prüfen Sie das Verhalten direkt auf der Seite und verfolgen den Lösungsprozess in Echtzeit – ganz ohne Code. Verfügbar für Chrome und Firefox.

So binden Sie reCAPTCHA v2 in Ihre Website ein

Um zu verstehen, wie die Captcha auf Ihrer Seite arbeitet, welche Validierungslogik sie hat und wie Sie sie erneut einrichten, lesen Sie diesen Abschnitt. Er beschreibt den gesamten Schutzaufbau, damit Sie jedes Detail schnell abdecken.

1. Rufen Sie die Seite der reCAPTCHA-Admin-Konsole auf.

2. Registrieren Sie eine neue Website.

Wählen Sie den Captcha-Typ – reCAPTCHA v2 (Checkbox mit Aufgaben oder die unsichtbare Variante).

HowTo Connect image 1

3. Holen Sie zwei Schlüssel:

Site key – öffentlicher Schlüssel (Frontend);
Secret key – privater Schlüssel (Server-Verifizierung).

HowTo Connect image 2

Öffnen Sie die Einstellungen, um Domains zu definieren, die reCAPTCHA verwenden dürfen, oder den Sicherheitsgrad festzulegen – vom einfachsten bis zum zuverlässigsten.

4. Beispielcode für den Client. HTML-Formular mit reCAPTCHA v2 (Sie können diesen Ausschnitt in den Body einsetzen):

HTML-Formular mit reCAPTCHA v2

Für das Checkbox-Widget:

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

Dieser Code lädt die Google-reCAPTCHA-Bibliothek und erstellt ein Formular, das Daten per POST sendet. <div class="g-recaptcha" data-sitekey="your_site_key"></div> zeigt das reCAPTCHA-v2-Widget mit Ihrem öffentlichen Schlüssel. Bei Klick auf „Submit“ wird das Formular zusammen mit dem g-recaptcha-response-Token zur Validierung an den Server gesendet.

Für die unsichtbare reCAPTCHA v2:

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

Der Button <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> führt die unsichtbare Captcha automatisch aus, erzeugt einen Token und ruft onSubmit auf.

Die Funktion onSubmit(token) erhält den g-recaptcha-response-Token und sendet das Formular zur Prüfung an Ihren Server.

Im Gegensatz zum Checkbox-Widget sieht der Nutzer die Captcha nicht – die Prüfung läuft im Hintergrund.

Fügen Sie bei Bedarf versteckte Felder <input type="hidden"> hinzu, um Token oder andere Daten für die spätere Übertragung per JS zu speichern. Weitere Details finden Sie in der Dokumentation der Captcha.

5. Validieren Sie die Antwort serverseitig.

PHP-Beispiel

Methode prüfen und Daten lesen

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('Methode nicht erlaubt');
}

// reCAPTCHA-Token abrufen
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('Captcha nicht bestanden');
}

Captcha über Google verifizieren

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>Formular erfolgreich gesendet!</h3>";
} else {
    echo "Fehler bei der Captcha-Prüfung.";
}
?>

Mögliche Fehler und Debugging

Ungültige Seite oder Schlüssel

Die Captcha lädt nicht oder liefert invalid-input-secret.

Zeitüberschreitung beim Lösen

Der Server hat die Antwort nicht rechtzeitig erhalten. Erhöhen Sie das Timeout.

Leerer Token

Beim Übergeben des Ergebnisses an die Seite ist ein Fehler aufgetreten.

Antwort success=false

Der Token ist abgelaufen, wurde erneut verwendet oder manipuliert. Aktivieren Sie das Request-Logging und prüfen Sie das Feld error-codes in der Google-Antwort.

Tests der Schutzstabilität

Stellen Sie nach der Integration sicher, dass das System die Website wirklich vor automatisierten Aktionen schützt.

Versuchen Sie, eine Anfrage ohne gelöstes Captcha auszuführen – der Server sollte success: false. zurückgeben.

Führen Sie einen Lasttest durch (z. B. mit k6 oder JMeter) bei einer Rate von über 100 Anfragen pro Sekunde – das Captcha sollte korrekt angezeigt werden und das Validierungssystem stabil bleiben.

Überprüfen Sie die Reaktion des Servers bei einem abgelaufenen oder erneut gesendeten Token – die erwartete Antwort sollte 403 Forbidden.

Tipps zu Sicherheit und Optimierung

Speichern Sie den Secret Key nur auf dem Server und geben Sie ihn nicht an die Client-Seite weiter.

Cachen Sie die Ergebnisse der Captcha-Prüfung (siteverify) für 30–60 Sekunden – das reduziert die Last und beschleunigt die Antwortzeit.

Protokollieren Sie die Fehlercodes (error-codes), um zu verstehen, warum bestimmte Prüfungen fehlgeschlagen sind.

Fügen Sie am unteren Rand des Formulars Links zur Datenschutzerklärung und zu den Nutzungsbedingungen von Google hinzu, wie es die Lizenz verlangt.

Fazit

Wenn Sie eine Website übernommen haben, auf der bereits ein Captcha oder ein anderes Schutzsystem installiert ist und Sie keinen Zugriff auf den Code haben, ist das kein Problem! Es ist ziemlich einfach festzustellen, welche Technologie genau verwendet wird. Und um die korrekte Funktionsweise zu überprüfen, können Sie den Erkennungsdienst CapMonster Cloud in einer isolierten Testumgebung nutzen, um sicherzustellen, dass der Mechanismus zur Tokenverarbeitung und die Prüflogik ordnungsgemäß funktionieren.

Im Fall von reCAPTCHA V2 reicht es aus, das System zu erkennen, sein Verhalten zu analysieren und sich zu vergewissern, dass der Schutz korrekt arbeitet. In diesem Artikel haben wir gezeigt, wie Sie reCAPTCHA V2 identifizieren und wo Sie Anleitungen für die Einbindung oder Neukonfiguration finden, damit Sie den Schutz zuverlässig betreiben und seine Arbeit unter Kontrolle halten können.

Nützliche Links

Dokumentation zu reCAPTCHA v2 →CapMonster-Cloud-Dokumentation (Arbeiten mit reCAPTCHA v2) →reCAPTCHA v2 mit CapMonster Cloud lösen →reCAPTCHA v2 in JavaScript mit Selenium & CapMonster Cloud lösen →reCAPTCHA v2 in Python mit Selenium & CapMonster Cloud lösen →reCAPTCHA v2 in C# mit Selenium & CapMonster Cloud lösen →

Die CapMonster-Cloud-Browsererweiterung ist für Chrome und Firefox verfügbar. Eine vollständige Anleitung zur Installation und Nutzung finden Sie hier.

reCAPTCHA v2 und CapMonster Cloud

reCAPTCHA v2
und CapMonster Cloud