TenDI (Tencent) CAPTCHA
et CapMonster Cloud

Résolution de captchas, intégration sur le site et tests.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise TenDI (Tencent), l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de TenDI (Tencent) afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu'est-ce que TenDI CAPTCHA

TenDI (Tencent) CAPTCHA est un système de protection anti-bot à plusieurs niveaux. Grâce à l'analyse du comportement et à des mécanismes spécialisés, il détermine si un visiteur du site est un humain réel. Il est utilisé pour protéger les inscriptions, les connexions, les campagnes marketing, et prévenir le spam et le vol de données.

Exemples de TenDI (Tencent)

Non-perception CAPTCHA

La vérification se fait automatiquement sans intervention de l'utilisateur. Idéal pour les scénarios où l'expérience utilisateur est critique.

Slider CAPTCHA

Vérification rapide et simple en déplaçant un curseur. Convient à la plupart des cas.

Graphic CAPTCHA

L'utilisateur clique successivement sur les éléments de l'image. Utilisé dans des scénarios à haute sécurité.

Audio CAPTCHA

Vérification via enregistrement audio. Optimal pour les utilisateurs ayant des limitations.

Smart Verification

Le système évalue le comportement de l'utilisateur : les utilisateurs fiables passent immédiatement, les suspects sont vérifiés plus en détail.

Multi-dimensional Defense

Plusieurs mécanismes de protection sont utilisés : chiffrement dynamique, anti-bot, et autres.

Comment résoudre Tencent CAPTCHA avec CapMonster Cloud

Lors du test de formulaires avec Tencent CAPTCHA, il est souvent nécessaire de vérifier que le captcha fonctionne correctement et est bien intégré.

Vous pouvez tester manuellement le captcha intégré sur votre site :

Ouvrez la page contenant le formulaire et assurez-vous que le captcha est affiché.
Essayez de soumettre le formulaire sans résoudre le captcha — le serveur doit renvoyer une erreur.
Après avoir résolu correctement le captcha, le formulaire doit être soumis sans erreur.

Pour la reconnaissance automatique du captcha, vous pouvez utiliser des services spécialisés tels que CapMonster Cloud, un outil qui reçoit les paramètres du captcha, les traite sur ses serveurs et renvoie un jeton prêt à l'emploi. Ce jeton peut être inséré dans le formulaire pour passer la vérification sans intervention de l'utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous fournissez votre clé API, le type de captcha et ses paramètres. Le service renvoie un taskId unique qui peut être utilisé ultérieurement pour récupérer le résultat.

Envoyer une requête API

Pour résoudre Tencent CAPTCHA, les paramètres suivants doivent être spécifiés dans la requête :

type - CustomTask

class - TenDI

websiteURL - l'adresse de la page où le captcha est résolu.

websiteKey - captchaAppId. Par exemple, "websiteKey": "189123456" — un paramètre unique pour votre site web.

captchaUrl (dans metadata) - lien vers le script du captcha. Se termine généralement par TCaptcha.js ou TCaptcha-global.js;

websiteURL - l'adresse de la page où le captcha est résolu;

userAgent (optionnel) - User-Agent du navigateur. Fournir uniquement un UA réel et à jour depuis Windows.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :


{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "TenDI",
    "websiteURL": "https://example.com",
    "websiteKey": "189123456",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36",
    "metadata": {
      "captchaUrl": "https://global.captcha.example.com/TCaptcha-global.js"
    }
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :

{
	"errorId":0,
	"status":"ready",
	"solution": {
	   "data": {
			"randstr": "@EcL",
			"ticket": "tr03lHUhdnuW3neJZu.....7LrIbs*"
		},
		"headers": {
			"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
		}
	}
}

Insertion du jeton sur la page

Le jeton obtenu peut être inséré dans un champ caché du formulaire ou passé à une fonction JavaScript sur le site pour confirmer la solution. Ensuite, le serveur acceptera le formulaire comme valide. Pour l'automatisation et les tests, il est pratique d'utiliser Puppeteer, Selenium ou Playwright, qui permettent d'émuler les actions de l'utilisateur, d'injecter les jetons et de soumettre les formulaires.

Reconnaissance de TenDI (Tencent) CAPTCHA avec des bibliothèques prêtes à l'emploi

CapMonster Cloud fournit des bibliothèques prêtes à l'emploi pour une intégration facile en Python, JavaScript (Node.js) et C#.

Python

JavaScript

Résolution, insertion du jeton et soumission du formulaire

Exemple Node.js pour le cycle complet de résolution de captcha sur votre page web. Approches possibles : utiliser des requêtes HTTP pour récupérer le HTML et les paramètres de protection, envoyer la réponse et traiter le résultat. Ou, comme dans l'exemple ci-dessous, utiliser des outils d'automatisation (ex : Playwright) — ouvrir la page, attendre la vérification, envoyer les paramètres via le client CapMonster Cloud, recevoir le résultat, injecter le jeton dans le formulaire (pour les tests, vous pouvez utiliser des données correctes ou incorrectes) et observer le résultat.


// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, TenDIRequest } from '@zennolab_com/capmonstercloud-client';

// Remplacez par vos propres valeurs
const API_KEY = "YOUR_API_KEY";         
const WEBSITE_URL = "https://example.com";

async function solveTenDIOnPage() {
    const browser = await chromium.launch({ headless: false });
    const context = await browser.newContext();
    const page = await context.newPage();

    // 1. Ouvrir la page
    await page.goto(WEBSITE_URL, { waitUntil: 'networkidle' });

    // 2. Attendre l'apparition du captcha (ex : input ou iframe)
    await page.waitForSelector('#tendi_response, iframe[src*="tendi"], input[name="tendi_response"]', { timeout: 15000 });

    // Si nécessaire, le websiteKey peut être extrait directement de la page
    const WEBSITE_KEY = await page.evaluate(() => {
        // Exemple : le sitekey peut se trouver dans un attribut data ou une variable globale
        const el = document.querySelector('#tendi_response') || document.querySelector('div[data-sitekey]');
        return el?.getAttribute('data-sitekey') || window.TenDI_siteKey || "183268248";
    });

    console.log("Website key detected:", WEBSITE_KEY);

    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    // 3. Créer une tâche TenDI
    const tenDIRequest = new TenDIRequest({
        websiteURL: page.url(),
        websiteKey: WEBSITE_KEY,
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    // 4. Résoudre le captcha
    const solution = await client.Solve(tenDIRequest);
    console.log("Solution:", solution);

    const { ticket, randstr } = solution.solution.data;

    // 5. Moyens d'injecter le résultat
    await page.evaluate(({ ticket, randstr }) => {
        // Injection dans un champ input
        const inputSelectors = ['#tendi_response', 'input[name="tendi_response"]', 'input[type="hidden"]'];
        let inserted = false;
        for (const sel of inputSelectors) {
            const input = document.querySelector(sel);
            if (input) {
                input.value = ticket;
                input.dispatchEvent(new Event('input', { bubbles: true }));
                const form = input.closest('form');
                if (form) form.submit();
                inserted = true;
                break;
            }
        }

        // Fonction callback JS
        if (typeof window.onCaptchaSolved === 'function') {
            window.onCaptchaSolved(ticket, randstr);
            inserted = true;
        }

        // Si aucun input et aucun callback
        if (!inserted) {
            window._tenDITicket = ticket;
            window._tenDIRandStr = randstr;
            console.log("Ticket and randstr saved to window._tenDITicket and window._tenDIRandStr");
        }
    }, { ticket, randstr });

    await page.waitForTimeout(5000);
    await browser.close();
}

solveTenDIOnPage().catch(console.error);

Vous pouvez également tester la reconnaissance de captchas avec l'extension navigateur CapMonster Cloud, qui permet de vérifier rapidement le captcha directement sur la page et de suivre le processus en temps réel sans coder — disponible pour Chrome et Firefox.

Comment intégrer TenDI (Tencent) CAPTCHA à votre site

Pour comprendre le fonctionnement du captcha sur votre site, la logique de vérification, le réintégrer ou le reconfigurer, nous vous recommandons de lire cette section. Elle décrit le processus complet d'intégration et aide à comprendre tous les détails rapidement.

1. Connectez-vous à votre compte ou créez-en un nouveau dans la Captcha Console.
2. Ouvrez la section Verification Management.
3. Créez un nouveau captcha (si inexistant).

Vous recevrez deux paramètres : CaptchaAppId et AppSecretKey. Ils sont utilisés côté frontend et serveur.

Exemple d'intégration frontend

Au clic, le captcha apparaît et après résolution, le résultat est affiché dans la console.


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8" />
    <title>Captcha Example</title>

    // Chargement obligatoire du JavaScript du captcha
    <script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>
</head>

<body>
    <div id="cap_iframe"></div>
    <button id="CaptchaId">Verification</button>

    <script>
        // Traitement du résultat
        function callback(res) {
            console.log("callback:", res);

            if (res.ret === 0) {
                // Vérification réussie
                const text = `[randstr] ${res.randstr} | [ticket] ${res.ticket}`;

                const input = document.createElement("input");
                input.value = text;
                document.body.appendChild(input);
                input.select();
                document.execCommand("Copy");
                document.body.removeChild(input);

                alert("Ticket et randstr copiés dans le presse-papiers.");
            }
        }

        // Gestion des erreurs lors du chargement du script captcha
        function loadErrorCallback() {
            const appid = "CaptchaAppId";
            const ticket = `trerror_1001_${appid}_1771418575`;

            callback({
                ret: 0,
                randstr: "@" + Math.random().toString(36).slice(2),
                ticket,
                errorCode: 1001,
                errorMessage: "jsload_error",
            });
        }

        window.onload = function () {
            document.getElementById("CaptchaId").onclick = function () {
                try {
                    const captcha = new TencentCaptcha(
                        document.getElementById("cap_iframe"),
                        "Your CaptchaAppId",
                        callback,
                        {}
                    );

                    captcha.show();
                } catch (e) {
                    loadErrorCallback();
                }
            };
        };
    </script>
</body>
</html>

Comment fonctionne l'intégration

Étape 1 : Charger le JavaScript du captcha

Le script doit être chargé dynamiquement :

<script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>

Si le script est chargé de manière non standard ou mis en cache, le captcha peut mal fonctionner.

Étape 2 : Créer un objet TencentCaptcha

Après le chargement du JS, une classe globale devient disponible :

<script src="new TencentCaptcha(domElement, CaptchaAppId, callback, options);"></script>

Paramètres :

domElement - Conteneur où le checkbox/iframe est intégré

CaptchaAppId - Votre ID

callback - Action après vérification

options - Paramètres visuels (optionnel)

Étape 3 : Appeler la méthode .show()

captcha.show();

Affiche le captcha. Peut être appelé plusieurs fois.

Étape 4 : Traiter le résultat

Le callback reçoit un objet :


{
  ret: 0,              // 0 -- succès, 2 -- l'utilisateur a fermé la fenêtre
  ticket: "...",       // requis par le serveur
  randstr: "...",      // également requis par le serveur
  errorCode: 1001,     // si le captcha n'a pas chargé
  errorMessage: "..."  // message d'erreur
}

Sur le serveur, une vérification secondaire du ticket est obligatoire.

Mode "Disaster Recovery"

Si le captcha ne charge pas (ex : CDN indisponible), un ticket d'urgence peut être généré automatiquement pour ne pas interrompre le processus métier.

Scénario :

Tentative de créer un captcha → erreur.
Appeler loadErrorCallback().
Générer un ticket du type :
```
trerror_<errorcode>_<appid>_<timestamp>
```
Continuer le traitement normalement, mais le serveur reconnaît qu'il s'agit d'un ticket d'urgence et décide quoi faire.

Chiffrement de l'AppId (optionnel)

Pour une protection maximale, vous pouvez transmettre une version chiffrée de l'AppId au captcha au lieu de la version ouverte :

aidEncrypted = Base64(IV + AES256(AppId & timestamp & ttl))

Nécessaire :

Clé de 32 octets (AppSecretKey → complétée jusqu'à 32 octets)
AES-256 CBC + PKCS7Padding
IV de 16 octets
timestamp et durée de validité en secondes

Exemple de chiffrement côté serveur (Python)


from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
import base64

def encrypt(plaintext, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    ciphertext = cipher.encrypt(pad(plaintext.encode(), AES.block_size))
    return base64.b64encode(iv + ciphertext).decode("utf-8")

Validation côté serveur

Étape 1. Configurer l'accès à l'API

Dans le panneau de gestion des clés (CAM / API Key Management), obtenez SecretId et SecretKey pour l'API. Ces clés sont nécessaires pour les requêtes signées.

Étape 2. Appeler l'API DescribeCaptchaResult

Après que le client a renvoyé ticket et randstr, le serveur doit envoyer la requête suivante :

Action: DescribeCaptchaResult
Version: 2019-07-22 (ou la version actuelle)

Paramètres :

CaptchaType - 9 (valeur fixe)

Ticket - chaîne — ticket renvoyé par le client

Randstr - chaîne — randstr renvoyé par le client

CaptchaAppId - votre AppId

AppSecretKey - votre clé secrète

UserIp - IP de l'utilisateur (recommandé)

Étape 3. Traiter la réponse

L'API renvoie :

CaptchaCode: integer — le résultat de la vérification.
0 (ou OK) — captcha réussie, ticket valide

Si CaptchaCode === OK, l'utilisateur est considéré comme vérifié. Sinon, rejeter.

Exemple — vérification du ticket en Node.js


import { v20190722 as captcha } from "@tencentcloud/tencentcloud-sdk-nodejs";
const client = new captcha.Client({
  credential: {
    secretId: "YOUR_SECRET_ID",
    secretKey: "YOUR_SECRET_KEY"
  },
  region: "ap-project", // région, si nécessaire
});

async function verifyCaptcha(ticket, randstr, userIp) {
  const params = {
    CaptchaType: 9,
    Ticket: ticket,
    Randstr: randstr,
    CaptchaAppId: YOUR_APP_ID,
    AppSecretKey: "YOUR_APP_SECRET_KEY",
    UserIp: userIp
  };

  const resp = await client.DescribeCaptchaResult(params);
  const code = resp.Response.CaptchaCode;
  return code === 0;
}

Vous pouvez trouver plus d'informations sur l'intégration de Tencent CAPTCHA sur votre site dans la documentation officielle.

Erreurs possibles et débogage

Captcha ne se charge pas

(Erreurs 1001, 1002 ou message de signature invalide) — la cause peut être des paramètres de requête incorrects. Assurez-vous que CaptchaAppId, AppSecretKey et tous les paramètres de la requête sont correctement spécifiés.

ticket/randstr invalide ou vide

Assurez-vous que le client transmet correctement les deux paramètres.

Délai d'attente dépassé

Augmentez le temps d'attente côté serveur.

Tests de robustesse de la protection

Après l'intégration, il est important de vérifier que la protection fonctionne correctement.

Essayez d'envoyer une requête sans ticket et randstr — la validation côté serveur doit renvoyer une erreur et rejeter la requête.

Effectuez des tests de charge (ex : k6 ou JMeter) à 100–200+ requêtes par seconde — le captcha doit continuer à s'initialiser correctement et votre backend à gérer les vérifications de manière stable.

Testez avec un ticket expiré — le serveur doit renvoyer une erreur de vérification et rejeter la requête.

Testez la réutilisation d'un ticket — résultat attendu : la vérification est rejetée.

Conseils de sécurité et d’optimisation

Stockez <b>AppSecretKey</b> uniquement sur le serveur, ne l'exposez pas dans le navigateur et ne l'incluez pas dans le code JS.

Stockez AppSecretKey uniquement sur le serveur, ne l'exposez pas dans le navigateur et ne l'incluez pas dans le code JS.

Consignez les réponses complètes de Tencent CAPTCHA, y compris les codes d'erreur, les temps de requête et les paramètres de validation — cela facilitera le diagnostic des problèmes.

Consignez les réponses complètes de Tencent CAPTCHA, y compris les codes d'erreur, les temps de requête et les paramètres de validation — cela facilitera le diagnostic des problèmes.

Utilisez HTTPS lors de la transmission de tous les paramètres <b>(ticket, randstr)</b> pour éviter toute altération.

Utilisez HTTPS lors de la transmission de tous les paramètres (ticket, randstr) pour éviter toute altération.

Placez sur la page des liens corrects vers la <b>Politique de confidentialité</b> et les <b>Conditions d'utilisation Tencent</b>, comme l'exige la licence.

Placez sur la page des liens corrects vers la Politique de confidentialité et les Conditions d'utilisation Tencent, comme l'exige la licence.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de TenDI (Tencent), il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître TenDI (Tencent) et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Documentation TenDI (Tencent) CAPTCHA →

Documentation CapMonster Cloud (travail avec Tencent CAPTCHA) →

Qu'est-ce que Tencent Captcha (TenDI) et comment la résoudre ? →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

TenDI (Tencent) CAPTCHA et CapMonster Cloud

Comment résoudre Tencent CAPTCHA avec CapMonster Cloud

TenDI (Tencent) CAPTCHA
et CapMonster Cloud