Estensione per browser

Per le aziende

Prezzi

Blog

Documentazione

Italiano

Prosopo Procaptcha
e CapMonster Cloud

Risoluzione del captcha, installazione sul sito e test.

Hai ereditato un sito con una captcha o un'altra protezione ma senza accesso al codice sorgente? È normale chiedersi quale soluzione sia installata, se sia configurata correttamente e come testarla.

In questo articolo abbiamo cercato di rispondere a tutte le domande principali. Il primo passo per risolvere il problema è capire quale sistema di protezione viene utilizzato. A questo scopo puoi consultare l’elenco dei captcha e dei sistemi di protezione antibot più diffusi, dove trovi esempi visivi e caratteristiche chiave che ti aiutano a identificare rapidamente con cosa hai a che fare.

Se scopri che sul tuo sito viene utilizzato Prosopo Procaptcha, il passo successivo è analizzarne più nel dettaglio le proprietà e il funzionamento. In questo stesso articolo puoi anche studiare la guida all’integrazione di Prosopo Procaptcha, per comprendere a fondo come opera sul tuo sito. Questo ti permetterà non solo di capire la protezione attuale, ma anche di pianificarne correttamente la manutenzione.

Cos'è Procaptcha

Procaptcha è un sistema di protezione sviluppato da Prosopo, progettato per prevenire spam e azioni automatiche che potrebbero danneggiare il sito. Aiuta a distinguere gli utenti reali dai bot, garantendo sicurezza e stabilità del sito web. Se il sistema dubita dell'autenticità del visitatore, propone un compito di verifica (ad esempio, selezione di determinate immagini), mantenendo comunque un'esperienza comoda e senza interruzioni per gli utenti reali.

Esempi di Prosopo Procaptcha

Frictionless CAPTCHA

Captcha invisibile. Rileva automaticamente se il visitatore è un utente reale o un bot. Se l'utente si comporta normalmente (browser standard, senza automazioni), il captcha viene risolto senza essere notato. Se vengono rilevati segni di bot, viene mostrato un compito aggiuntivo image all'utente.

Proof of Work (PoW) CAPTCHA

Captcha basato su calcolo, ossia fa sì che il tuo dispositivo esegua un piccolo calcolo in background. L'obiettivo principale è fermare i bot massivi e lo spam, poiché i sistemi automatizzati devono spendere tempo e risorse per completare il compito. Per un umano è generalmente quasi impercettibile.

Image CAPTCHA

Captcha visivo classico. Mostra immagini e chiede di selezionare quelle che soddisfano la condizione (ad esempio, “seleziona tutti i cavalli”).

Come risolvere Procaptcha tramite CapMonster Cloud

Quando testi form che includono Prosopo Procaptcha devi spesso verificare che la captcha funzioni e sia integrata correttamente.

Puoi verificare manualmente la captcha inserita nel tuo sito.

Apri la pagina del form e assicurati che la captcha venga visualizzata.
Prova a inviare il form senza risolverla: il server dovrebbe restituire un errore.
Dopo una soluzione corretta il form deve essere inviato senza problemi.

Per la risoluzione automatica puoi usare strumenti come CapMonster Cloud, che accetta i parametri della captcha, li elabora sui propri server e restituisce un token pronto all'uso. Inserisci quel token nel form per superare il controllo senza intervento dell'utente.

Lavorare con CapMonster Cloud via API di solito prevede i seguenti passaggi:

Creazione della task

In questa fase fornisci la tua chiave API, il tipo di captcha e i suoi parametri. Il servizio restituisce un taskId univoco, tramite il quale potrai ottenere il risultato successivamente.

Invio della richiesta API

Nella richiesta per risolvere Prosopo è necessario indicare i seguenti parametri:

type - ProsopoTask

websiteURL - URL completo della pagina con captcha;

websiteKey - Valore del parametro siteKey trovato nella pagina.

Ulteriori dettagli sui parametri e su come recuperarli automaticamente prima di inviare una richiesta sono disponibili nella documentazione di CapMonster Cloud.

Endpoint per inviare la task:

https://api.capmonster.cloud/createTask

Esempio di richiesta:


{
"clientKey": "API_KEY",
"task": {
  "type": "ProsopoTask",
  "websiteURL": "https://www.example.com",
  "websiteKey": "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
  }
}

Risposta:

{
  "errorId":0,
  "taskId":407533072
}

Ricezione del risultato

Dopo aver creato la task, verifica periodicamente lo stato della soluzione.

Indirizzo per ricevere il risultato:

https://api.capmonster.cloud/getTaskResult

Esempio di richiesta:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Risposta:


{
"errorId":0,
"status":"ready",
"solution": {
  "token": "0x00016c68747470733a2f2f70726f6e6f6465332e70726f736f706f2e696fc0354550516f4d5a454463354c704e376774784d4d7a5950547a4136..."
  }
}

Inserimento del token nella pagina

Il token ottenuto può essere inserito in un campo nascosto del modulo o chiamare una funzione JS sul sito per confermare la risoluzione. Successivamente il server accetterà il modulo come compilato correttamente. Per automazione e test è comodo usare Puppeteer, Selenium o Playwright, che permettono di emulare le azioni dell'utente, inserire token e inviare moduli.

Riconoscimento Procaptcha con librerie pronte

Il servizio CapMonster Cloud fornisce librerie pronte per lavorare comodamente in Python, JavaScript (Node.js) e C#.

Python

JavaScript

Risoluzione, inserimento token e invio modulo

Esempio in Node.js per l'intero ciclo di riconoscimento captcha sulla tua pagina web. Possibili approcci: usare richieste HTTP per ottenere HTML e parametri del captcha, inviare la risposta e gestire il risultato; oppure con strumenti di automazione (ad esempio Playwright) — aprire la pagina, attendere il captcha, inviare i parametri (per test puoi inviare dati corretti o errati), ottenere il risultato tramite il client CapMonster Cloud, inserire il token nel modulo e visualizzare il risultato.


async function sendTokenToSite(token) {
    // URL del modulo o endpoint dove inviare il token
    const formURL = "https://example..com/en/your-form-endpoint";

    // Esempio di dati del modulo
    const formData = {
        email: "example@example.com",
        password: "yourpassword",
        "procaptcha-response": token // token da Procaptcha
    };

    try {
        const response = await fetch(formURL, {
            method: "POST",
            headers: {
                "Content-Type": "application/json", // или 'application/x-www-form-urlencoded' dipende dal sito
            },
            body: JSON.stringify(formData),
        });

        const result = await response.text(); // o response.json() se il server restituisce JSON
        console.log("Server response:", result);
    } catch (err) {
        console.error("Error sending token:", err);
    }
}

// Funzione principale
async function solveAndSend() {
    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const prosopoRequest = new ProsopoRequest({
        websiteURL: "https://example.com/en/",
        websiteKey: "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    const result = await client.Solve(prosopoRequest);
    console.log("Captcha solution:", result);

    // Invio del token al sito
    await sendTokenToSite(result.solution); // result.solution contiene il token Procaptcha
}

solveAndSend().catch(console.error);

È anche possibile testare il riconoscimento dei captcha tramite l'estensione del browser CapMonster Cloud, che permette di verificare rapidamente il funzionamento del captcha direttamente sulla pagina e monitorare il processo di risoluzione in tempo reale senza scrivere codice – disponibile per l'installazione su Chrome e Firefox.

Come collegare Procaptcha al tuo sito

Per comprendere il funzionamento del captcha sul tuo sito, capire la logica di verifica, riconnettere o reimpostare, ti consigliamo di studiare questa sezione. Qui viene descritta la procedura di collegamento della protezione, utile per comprendere rapidamente tutti i dettagli.

Puoi anche integrare Procaptcha tramite framework popolari (React, Angular ecc.) o installare la protezione su WordPress. Maggiori informazioni si trovano nella documentazione ufficiale del progetto.

1. Ottieni le chiavi (sitekey e secret key)

1) Accedi a Portale Prosopo.
2) Vai su Site Management
3) Clicca su Reveal — appariranno due chiavi:
- sitekey — pubblica, usata sul client.
- secret key — privata, usare solo sul server.

Importante: per ogni widget viene creato un set di chiavi separato. Non usarle per un altro progetto.

2. Aggiungi il tuo dominio

1) Vai su Account → Domains.
2) Assicurati che il tuo dominio sia elencato.
3) Se testi in locale — aggiungi localhost.
4) Rimuovi localhost prima della produzione.

3. Collega lo script Procaptcha

Inserisci il tag in <head>

<script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>>

4. Opzione 1: Implicit rendering (automatico) — PIÙ SEMPLICE

Aggiungi un contenitore dove il captcha apparirà automaticamente:

<div class="procaptcha" data-sitekey="your_site_key"></div>

Di solito si trova all'interno del modulo.

Esempio di modulo completo

<html>
    <head>
        <title>Procaptcha Demo</title>
        <script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>
    </head>
    <body>
        <form action="" method="POST">
            <input type="text" name="email" placeholder="Email" />
            <input type="password" name="password" placeholder="Password" />
            <div class="procaptcha" data-sitekey="your_site_key"></div>
            <br />
            <input type="submit" value="Submit" />
        </form>
    </body>
</html>

Dopo la verifica riuscita del captcha, verrà aggiunto un parametro nascosto:

5. Opzione 2: Explicit rendering (manuale) — PIÙ CONTROLLO

Esempio HTML


<html>
    <head>
        <script
            type="module"
            id="procaptcha-script"
            src="https://js.prosopo.io/js/procaptcha.bundle.js"
            async
            defer
        ></script>
    </head>
    <body>
        <div id="procaptcha-container"></div>
    </body>
</html>

Esempio JavaScript


document.getElementById('procaptcha-script').addEventListener('load', function () {
    function onCaptchaVerified(output) {
        console.log('Captcha verified, output: ' + JSON.stringify(output))
    }

    const captchaContainer = document.getElementById('procaptcha-container')

    window.procaptcha.render(captchaContainer, {
        siteKey: 'YOUR_SITE_KEY',
        theme: 'dark',
        callback: onCaptchaVerified,
    })
})

6. Configurazione tipo captcha (opzionale)

Puoi selezionare esplicitamente:

frictionless (predefinito)
pow
image

Ad esempio:


<div class="procaptcha"
     data-sitekey="your_site_key"
     data-captcha-type="pow">
</div>

7. Passaggio obbligatorio: verifica server-side del token

Dopo il rendering del captcha, il server deve verificare la risposta. La verifica avviene tramite API:

POST

https://api.prosopo.io/siteverify

Contenuto della richiesta:

{
    "secret": "your_secret_key",
    "token": "PROCAPTCHA-RESPONSE"
}

8. Verifica server-side in PHP

Esempio di codice:


<?php
function verifyToken($token) {
    $url = 'https://api.prosopo.io/siteverify';
    $data = json_encode(["secret" => "your_secret_key", "token" => $token]);
    $options = [
        'http' => [
            'header'  => "Content-Type: application/json\r\n",
            'method'  => 'POST',
            'content' => $data,
        ],
    ];
    $context  = stream_context_create($options);
    $result = file_get_contents($url, false, $context);
    $response = json_decode($result, true);

    return $response["verified"] ?? false;
}
?>

Cosa conta come verifica riuscita?

Se il server Procaptcha restituisce:

{
    "verified": true
}

— captcha superato, è possibile eseguire l'azione protetta (ad esempio registrare l'utente).

Possibili errori e debug

Chiave sito non valida

È stata utilizzata una site key errata o non valida. Soluzione: assicurati di usare la chiave corretta, reperibile nel tuo account Procaptcha.

URL origine non autorizzata

Il dominio in cui il widget è installato non corrisponde al dominio associato alla site key. Soluzione: verifica e aggiorna l'elenco dei domini nelle impostazioni del portale Procaptcha.

Sessione non trovata

Sessione non trovata o scaduta. Soluzione: attendi il reload del widget (~3 secondi) o aggiorna la pagina. Se l'errore persiste, cancella cache e cookie del browser o contatta il supporto.

Risposta success=false

Il token è scaduto, riutilizzato o non superato la verifica. Per diagnosticare, abilita il logging delle richieste e controlla il campo error nella risposta Procaptcha.

Verifiche della resilienza della protezione

Dopo l'integrazione assicurati che il sistema protegga davvero il sito dalle azioni automatizzate.

Prova a fare una richiesta senza risolvere il captcha — il server dovrebbe restituire success: false.

Esegui test di carico (ad esempio con k6 o JMeter) a velocità superiori a 100 richieste al secondo — il captcha deve apparire correttamente e il sistema di validazione rimanere stabile.

Verifica la reazione del server con token scaduto o inviato di nuovo — la risposta attesa deve essere 403 Forbidden.

Suggerimenti di sicurezza e ottimizzazione

Conserva la <b>Secret Key</b> solo sul server. Non inviarla mai al client.

Conserva la Secret Key solo sul server. Non inviarla mai al client.

Registra i codici di errore <b>(error-codes)</b> per capire perché alcune verifiche specifiche sono fallite.

Registra i codici di errore (error-codes) per capire perché alcune verifiche specifiche sono fallite.

Aggiungi in fondo ai moduli link alla <b>Privacy Policy</b> e ai <b>Termini di utilizzo di Procaptcha</b>, se richiesto dalla tua implementazione.

Aggiungi in fondo ai moduli link alla Privacy Policy e ai Termini di utilizzo di Procaptcha, se richiesto dalla tua implementazione.

Conclusione

Se ti è capitato un sito con un captcha o un altro sistema di protezione già installato e senza accesso al codice, nessun problema! È piuttosto facile capire quale tecnologia viene utilizzata. Per verificare che tutto funzioni correttamente, puoi usare il servizio di riconoscimento CapMonster Cloud in un ambiente di test isolato, così da assicurarti che il meccanismo di elaborazione dei token e la logica di verifica funzionino correttamente.

Nel caso di Prosopo Procaptcha, è sufficiente individuare il sistema, analizzarne il comportamento e assicurarsi che la protezione funzioni correttamente. Nell’articolo abbiamo mostrato come riconoscere Prosopo Procaptcha e dove trovare le istruzioni per la sua integrazione o riconfigurazione, in modo da poter mantenere la protezione in modo affidabile e controllarne il funzionamento.

Link utili

Documentazione Procaptcha →

Portale Prosopo →

Documentazione CapMonster Cloud (lavoro con Procaptcha) →

L'estensione browser di CapMonster Cloud è disponibile per Chrome e Firefox. La guida completa all'installazione e all'uso è disponibile qui.

Prosopo Procaptcha e CapMonster Cloud

Prosopo Procaptcha
e CapMonster Cloud