Estensione per browser

Per le aziende

Prezzi

Blog

Documentazione

Italiano

Cloudflare Waiting Room
e CapMonster Cloud

Risoluzione captcha, installazione sul sito e test.

Hai ereditato un sito con una captcha o un'altra protezione ma senza accesso al codice sorgente? È normale chiedersi quale soluzione sia installata, se sia configurata correttamente e come testarla.

In questo articolo abbiamo cercato di rispondere a tutte le domande principali. Il primo passo per risolvere il problema è capire quale sistema di protezione viene utilizzato. A questo scopo puoi consultare l’elenco dei captcha e dei sistemi di protezione antibot più diffusi, dove trovi esempi visivi e caratteristiche chiave che ti aiutano a identificare rapidamente con cosa hai a che fare.

Se scopri che sul tuo sito viene utilizzato Cloudflare Waiting Room, il passo successivo è analizzarne più nel dettaglio le proprietà e il funzionamento. In questo stesso articolo puoi anche studiare la guida all’integrazione di Cloudflare Waiting Room, per comprendere a fondo come opera sul tuo sito. Questo ti permetterà non solo di capire la protezione attuale, ma anche di pianificarne correttamente la manutenzione.

Cos'è Cloudflare Waiting Room

Cloudflare Waiting Room è una coda virtuale che protegge il sito dal sovraccarico in caso di picchi improvvisi di traffico. Se i visitatori diventano troppi, gli utenti “in eccesso” vengono temporaneamente indirizzati a una pagina di attesa, dove vedono informazioni sulla loro posizione in coda e il tempo di ingresso stimato. Non appena si libera un posto, accedono automaticamente al sito.

Come risolvere la Waiting Room tramite CapMonster Cloud

Durante il test del meccanismo Waiting Room, è importante assicurarsi che la coda funzioni correttamente e regoli l'accesso al sito.

Ecco come puoi verificarlo:

Apri la pagina in cui è attivata la Waiting Room e assicurati che la coda venga visualizzata quando si supera il limite di utenti.
Prova ad accedere al sito da più dispositivi o browser contemporaneamente per creare un carico artificiale: una parte delle richieste dovrebbe essere messa in coda.
Verifica che gli utenti messi in coda vedano la pagina di attesa e vengano poi ammessi automaticamente al sito quando si libera un posto.
Assicurati che l'aggiornamento della pagina non rimuova l'utente dalla coda.

Per i test automatizzati e il riconoscimento dei captcha, è possibile utilizzare servizi specializzati, come CapMonster Cloud, uno strumento che riceve i parametri del captcha, li elabora sui propri server e restituisce una soluzione pronta. Questa soluzione (token o cookie) può essere inserita in un modulo o nel browser per superare la verifica senza l'intervento dell'utente.

Lavorare con CapMonster Cloud via API di solito prevede i seguenti passaggi:

Creazione della task

In questa fase trasmetti la tua chiave API, il tipo di captcha e i suoi parametri. Il servizio restituisce un taskId univoco, tramite il quale sarà possibile ottenere il risultato in seguito.

Invio della richiesta API

Nella richiesta per risolvere Cloudflare Waiting Room è necessario specificare i seguenti parametri:

type - TurnstileTask;

websiteURL - indirizzo della pagina su cui si trova la verifica;

websiteKey - chiave Cloudflare sul sito di destinazione;

cloudflareTaskType - wait_room;

htmlPageBase64 - Pagina HTML in formato base64 contenente il titolo <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent del browser. Inviare solo uno UA attuale del sistema operativo Windows;

Inoltre, per questo compito è necessario utilizzare i propri proxy:

proxyType :

http - proxy HTTP/HTTPS standard;
https - prova questa opzione se «http» non funziona (richiesto per alcuni proxy personalizzati);
socks4 - proxy di tipo SOCKS4;
socks5 - proxy di tipo SOCKS5;

proxyAddress - Indirizzo IP del proxy IPv4/IPv6;

proxyPort - porta del proxy;

proxyLogin - login del server proxy;

proxyPassword - password del server proxy.

Ulteriori dettagli sui parametri e su come recuperarli automaticamente prima di inviare una richiesta sono disponibili nella documentazione di CapMonster Cloud.

Endpoint per inviare la task:

https://api.capmonster.cloud/createTask

Esempio di richiesta:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Risposta:

{
  "errorId":0,
  "taskId":407533072
}

Ricezione del risultato

Dopo aver creato la task, verifica periodicamente lo stato della soluzione.

Indirizzo per ricevere il risultato:

https://api.capmonster.cloud/getTaskResult

Esempio di richiesta:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Risposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Sostituzione di cf_clearance

La soluzione ottenuta (cookie cf_clearance) può essere impostata nel browser o inviata insieme alla richiesta HTTP, specificandola nell'intestazione Cookie: cf_clearance=. Inoltre, per l'automazione e i test, è comodo utilizzare Puppeteer, Selenium o Playwright, che consentono di emulare le azioni dell'utente, inserire cookie e inviare moduli.

Di seguito è riportato un esempio di richiesta alla tua pagina con valori di cookie ottenuti in anticipo. Questo è utile per i test: è possibile trasmettere sia valori corretti che intenzionalmente errati per assicurarsi che la logica di elaborazione dell'accesso e di convalida funzioni correttamente.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

C'è anche un'ottima opportunità per testare il riconoscimento dei captcha utilizzando l'estensione del browser CapMonster Cloud, che consente di verificare rapidamente il funzionamento del captcha direttamente sulla pagina e monitorare il processo di risoluzione in tempo reale senza scrivere codice: disponibile per l'installazione su Chrome e Firefox.

Come collegare Cloudflare Waiting Room al tuo sito

Per orientarti con sicurezza nel funzionamento del captcha sul tuo sito, comprendere la logica della sua verifica, ricollegarlo o riconfigurarlo, ti consigliamo di studiare questa sezione. In essa è descritto il processo di collegamento della protezione: questo ti aiuterà a capire rapidamente tutte le sfumature.

Requisiti e preparazione

Piano Cloudflare: Waiting Room è disponibile per i piani Business ed Enterprise.
CDN e Proxying: Il tuo sito deve essere collegato a Cloudflare e il record DNS per il dominio o sottodominio deve essere proxied.
Cookie: I visitatori devono supportare i cookie, poiché Cloudflare li utilizza per tracciare la posizione nella coda.
Decidi quali pagine/utenti saranno in coda e quali bypasseranno la Waiting Room (ad esempio, amministratori, VIP, determinati percorsi).

1. Registrati su Cloudflare e collega il tuo sito.

2. Nella sezione Traffic → Waiting Room, crea una nuova coda:

3. Clicca su Create Waiting Room.

Indica:

Hostname / URL, dove sarà attiva la Waiting Room.
Nome della Waiting Room (per la gestione interna).
Numero massimo di utenti ammessi contemporaneamente (facoltativo, se è necessario un carico limitato).

4. Personalizza il design della pagina di attesa:

Puoi utilizzare il modello Cloudflare o HTML/CSS personalizzato.
Aggiungi un logo, informazioni sul tempo di attesa e istruzioni per gli utenti.

5. Salva e attiva la Waiting Room.

6. Configurazione delle regole (Rules)

Cloudflare consente di escludere determinato traffico dalla coda.

Regole di bypass tipiche (Bypass Rules):

Indirizzi IP dell'amministratore: consentire sempre.
Percorsi/URL: escludere file statici (.js, .css, .png) o determinate pagine.
Geo-targeting: escludere determinati paesi.
Query string: escludere determinati parametri GET.

Esempio di regola di bypass del percorso nella Dashboard

In Waiting Room → Manage Rules → Create new bypass rule.
Configura:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Salva e distribuisci (Deploy).

Tutte le regole di bypass consentono di escludere il traffico dal conteggio degli utenti attivi, in modo che non influenzi la coda.

Funzionalità avanzate:

Scheduled Event: attivazione della Waiting Room solo in momenti specifici (ad esempio, per i saldi).
Analytics: monitoraggio del numero di utenti in coda, tempo di attesa e velocità di passaggio.
Hostname/path aggiuntivi: una singola Waiting Room può funzionare su più sottodomini o percorsi.

Gestione tramite API:

L'API Cloudflare Waiting Room consente di:

Creare, modificare ed eliminare regole di bypass.
Visualizzare l'elenco delle regole.
Gestire tutte le impostazioni della Waiting Room tramite programmazione.

Esempio di creazione di una regola di bypass tramite API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Verifica del funzionamento

1) Apri il sito da diversi browser/dispositivi.

2) Verifica:

La Waiting Room appare quando si supera il limite?
La posizione in coda viene mantenuta quando si aggiorna la pagina?
Le regole di bypass funzionano (ad esempio, l'IP amministratore passa senza attesa)?

Possibili errori e debug

Dominio non valido o configurazione errata della coda

La pagina waiting room non viene visualizzata. Verifica che la regola della coda sia collegata all'URI, percorso o host corretto.

Timeout caricamento pagina o token della coda

Il client non ha atteso la risposta del server. Aumenta i timeout nei test e nel monitoraggio per gestire correttamente i ritardi.

Verifica ripetuta o token della coda scaduto

Se l'utente utilizza un token già scaduto o cookie non validi, il sistema mostrerà nuovamente la pagina di attesa.

Conflitto con altri controlli di accesso

L'uso simultaneo della Waiting Room e di altre regole di autorizzazione/protezione dai bot può portare a controlli ciclici. Segui le raccomandazioni sulla sequenza dei controlli e sulla logica di esclusione degli utenti.

Verifiche della resilienza della protezione

Dopo l'integrazione assicurati che il sistema protegga davvero il sito dalle azioni automatizzate.

Prova a richiedere la pagina senza cookie speciali — l'utente dovrebbe finire nella waiting room.

Testa un nuovo accesso con i cookie già impostati — l'utente dovrebbe bypassare la coda e accedere al contenuto principale.

Esegui test di carico (ad esempio, con k6 o JMeter) con un alto tasso di richieste — la pagina waiting room deve essere visualizzata correttamente e il server della coda rimanere stabile.

Verifica la reazione del server in caso di cookie/token scaduti o non corretti. Il risultato atteso è che l'utente finisca nuovamente nella pagina di attesa.

Suggerimenti di sicurezza e ottimizzazione

Configura le regole della coda e il TTL dei token in base al livello di carico e ai rischi

Configura le regole della coda e il TTL dei token in base al livello di carico e ai rischi

Conserva tutti i segreti (ad esempio, le chiavi di firma dei token) solo sul server

Conserva tutti i segreti (ad esempio, le chiavi di firma dei token) solo sul server

Registra gli eventi della coda e lo stato di passaggio per capire perché gli utenti finiscono nella waiting room e identificare i falsi positivi.

Registra gli eventi della coda e lo stato di passaggio per capire perché gli utenti finiscono nella waiting room e identificare i falsi positivi.

Per trasparenza, aggiungi link alla <b>Privacy Policy</b> e ai <b>Termini di utilizzo del sito sulle pagine della waiting room</b>.

Per trasparenza, aggiungi link alla Privacy Policy e ai Termini di utilizzo del sito sulle pagine della waiting room.

Conclusione

Se ti è capitato un sito con un captcha o un altro sistema di protezione già installato e senza accesso al codice, nessun problema! È piuttosto facile capire quale tecnologia viene utilizzata. Per verificare che tutto funzioni correttamente, puoi usare il servizio di riconoscimento CapMonster Cloud in un ambiente di test isolato, così da assicurarti che il meccanismo di elaborazione dei token e la logica di verifica funzionino correttamente.

Nel caso di Cloudflare Waiting Room, è sufficiente individuare il sistema, analizzarne il comportamento e assicurarsi che la protezione funzioni correttamente. Nell’articolo abbiamo mostrato come riconoscere Cloudflare Waiting Room e dove trovare le istruzioni per la sua integrazione o riconfigurazione, in modo da poter mantenere la protezione in modo affidabile e controllarne il funzionamento.

Link utili

Documentazione Cloudflare Waiting Room →

Documentazione CapMonster Cloud (lavoro con Cloudflare Waiting Room) →

Cos'è Cloudflare CAPTCHA e come risolverlo con CapMonster Cloud →

Come Cloudflare rileva il traffico automatizzato: protezione del sito dai bot →

L'estensione browser di CapMonster Cloud è disponibile per Chrome e Firefox. La guida completa all'installazione e all'uso è disponibile qui.

Cloudflare Waiting Room e CapMonster Cloud

Come risolvere la Waiting Room tramite CapMonster Cloud

Cloudflare Waiting Room
e CapMonster Cloud