Estensione per browser

Per le aziende

Prezzi

Blog

Documentazione

Italiano

reCAPTCHA v2
e CapMonster Cloud

Risoluzione delle captcha, integrazione sul sito e test end-to-end.

Hai ereditato un sito con una captcha o un'altra protezione ma senza accesso al codice sorgente? È normale chiedersi quale soluzione sia installata, se sia configurata correttamente e come testarla.

In questo articolo abbiamo cercato di rispondere a tutte le domande principali. Il primo passo per risolvere il problema è capire quale sistema di protezione viene utilizzato. A questo scopo puoi consultare l’elenco dei captcha e dei sistemi di protezione antibot più diffusi, dove trovi esempi visivi e caratteristiche chiave che ti aiutano a identificare rapidamente con cosa hai a che fare.

Se scopri che sul tuo sito viene utilizzato reCAPTCHA V2, il passo successivo è analizzarne più nel dettaglio le proprietà e il funzionamento. In questo stesso articolo puoi anche studiare la guida all’integrazione di reCAPTCHA V2, per comprendere a fondo come opera sul tuo sito. Questo ti permetterà non solo di capire la protezione attuale, ma anche di pianificarne correttamente la manutenzione.

Cos'è Google reCAPTCHA v2

reCAPTCHA v2 è un sistema di protezione di Google progettato per bloccare lo spam e altre azioni automatizzate che possono danneggiare un sito web. Aiuta a distinguere i visitatori reali dai bot, mantenendo il tuo sito sicuro e stabile.

Esempi di reCAPTCHA V2

reCAPTCHA v2

La classica captcha con checkbox in cui l'utente deve confermare di essere umano. In alcuni casi appare anche una finestra con un ulteriore compito, ad esempio selezionare determinate immagini.

reCAPTCHA v2 Invisible

Una versione invisibile della captcha che convalida automaticamente, senza intervento dell'utente e senza dover fare clic sulla casella.

reCAPTCHA v2 Enterprise

Versione Enterprise con controlli e funzioni di sicurezza aggiuntivi.

Come risolvere reCAPTCHA v2 con CapMonster Cloud

Quando testi form che includono reCAPTCHA V2 devi spesso verificare che la captcha funzioni e sia integrata correttamente.

Puoi verificare manualmente la captcha inserita nel tuo sito.

Apri la pagina del form e assicurati che la captcha venga visualizzata.
Prova a inviare il form senza risolverla: il server dovrebbe restituire un errore.
Dopo una soluzione corretta il form deve essere inviato senza problemi.

Per la risoluzione automatica puoi usare strumenti come CapMonster Cloud, che accetta i parametri della captcha, li elabora sui propri server e restituisce un token pronto all'uso. Inserisci quel token nel form per superare il controllo senza intervento dell'utente.

Lavorare con CapMonster Cloud via API di solito prevede i seguenti passaggi:

Creazione della task

In questa fase invii la tua API key, il tipo di captcha e i parametri. Il servizio restituisce un taskId univoco con cui potrai recuperare il risultato.

Invio della richiesta API

La richiesta per risolvere reCAPTCHA v2 deve includere i seguenti parametri:

type - RecaptchaV2Task;

websiteURL - l'indirizzo della pagina in cui appare la captcha;

websiteKey - il sitekey indicato nella tua pagina con la captcha.

Ulteriori dettagli sui parametri e su come recuperarli automaticamente prima di inviare una richiesta sono disponibili nella documentazione di CapMonster Cloud.

Endpoint per inviare la task:

https://api.capmonster.cloud/createTask

Esempio di richiesta:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

Risposta:

{
  "errorId":0,
  "taskId":407533072
}

Ricezione del risultato

Dopo aver creato la task, verifica periodicamente lo stato della soluzione.

Indirizzo per ricevere il risultato:

https://api.capmonster.cloud/getTaskResult

Esempio di richiesta:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Risposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

Inserimento del token nella pagina

Il token restituito (il valore "gRecaptchaResponse") può essere inserito in un campo nascosto del form o passato a una funzione JS del sito per confermare la soluzione. Dopo di ciò il server accetterà il form come valido. Per automatizzare il flusso utilizza Puppeteer, Selenium o Playwright per emulare le azioni dell'utente, inserire i token e inviare i form.

Invece di ottenere un token puoi usare il metodo di risoluzione tramite clic. Trovi maggiori dettagli nella documentazione di CapMonster Cloud.

Risoluzione di reCAPTCHA v2 con librerie pronte

CapMonster Cloud offre SDK pronti per lavorare comodamente con Python, JavaScript (Node.js) e C#.

Python

JavaScript

Risoluzione, inserimento del token e invio del form

Esempio in Node.js che copre l'intero ciclo di risoluzione della captcha sulla tua pagina. Possibili approcci: usare richieste HTTP per ottenere l'HTML e i parametri della captcha, inviare la risposta e gestire il risultato; oppure utilizzare strumenti di automazione (ad esempio Playwright) per aprire la pagina, attendere la captcha, inviare i parametri (puoi testare con dati corretti o errati), ottenere il risultato tramite il client CapMonster Cloud, inserire il token nel form e vedere l'esito.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Risoluzione della captcha
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // Inserisci il token e invia il form (sostituisci con il selettore desiderato)
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('Captcha risolta e form inviato!');
})();

Puoi anche testare il riconoscimento delle captcha con l'estensione browser di CapMonster Cloud, che ti consente di verificare il comportamento direttamente sulla pagina e seguire il processo di risoluzione in tempo reale senza scrivere codice. Disponibile per Chrome e Firefox.

Come collegare reCAPTCHA v2 al tuo sito

Per capire come funziona la captcha sul tuo sito, conoscere la logica di validazione e riconfigurarla o reinstallarla, consulta questa sezione. Descrive il processo di configurazione della protezione così da coprire rapidamente ogni dettaglio.

1. Vai alla pagina della console di amministrazione reCAPTCHA.

2. Registra un nuovo sito.

Scegli il tipo di captcha — reCAPTCHA v2 (checkbox con sfide oppure variante invisibile).

HowTo Connect image 1

3. Ottieni due chiavi:

Site key — chiave pubblica (usata sul frontend);
Secret key — chiave privata (usata sul server per la verifica).

HowTo Connect image 2

Apri le impostazioni per specificare i domini autorizzati a usare reCAPTCHA oppure per scegliere il livello di sicurezza, dal più semplice al più rigoroso.

4. Esempio di codice lato client. Form HTML con reCAPTCHA v2 (puoi incollare questo snippet nel body della pagina):

Form HTML con reCAPTCHA v2

Per il widget con checkbox:

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

Questo codice carica la libreria Google reCAPTCHA e crea un form che invia i dati via POST. <div class="g-recaptcha" data-sitekey="your_site_key"></div> mostra il widget reCAPTCHA v2 con la tua chiave pubblica. Facendo clic su “Submit” il form viene inviato insieme al token g-recaptcha-response per la verifica sul backend.

Per reCAPTCHA v2 invisibile:

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

Il pulsante <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> esegue automaticamente la captcha invisibile, genera un token e chiama onSubmit.

La funzione onSubmit(token) riceve il token g-recaptcha-response e invia il form al server per la verifica.

A differenza del widget con checkbox, l'utente non vede la captcha: il controllo avviene in background.

Se necessario aggiungi campi nascosti <input type="hidden"> per conservare il token o altri dati da inviare successivamente via JS. Consulta la documentazione della captcha per maggiori dettagli.

5. Valida la risposta lato server.

Esempio in PHP

Controllare il metodo e leggere i dati

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('Metodo non consentito');
}

// Recupero del token reCAPTCHA
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('Captcha non superata');
}

Verificare la captcha tramite Google

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>Form inviato con successo!</h3>";
} else {
    echo "Errore nella verifica della captcha.";
}
?>

Possibili errori e debug

Sito o chiave non validi

La captcha non si carica o restituisce invalid-input-secret.

Timeout di risoluzione

Il server non ha ricevuto la risposta in tempo. Aumenta il tempo di attesa.

Token vuoto

Si è verificato un errore durante il passaggio del risultato alla pagina.

Response success=false

Il token è scaduto, riutilizzato o falsificato. Abilita il logging delle richieste e controlla il campo error-codes nella risposta di Google.

Verifiche della resilienza della protezione

Dopo l'integrazione assicurati che il sistema protegga davvero il sito dalle azioni automatizzate.

Provate a inviare una richiesta senza risolvere il captcha — il server dovrebbe restituire success: false.

Eseguite un test di carico (ad esempio con k6 o JMeter) a una velocità superiore a 100 richieste al secondo — il captcha deve essere visualizzato correttamente e il sistema di validazione deve rimanere stabile.

Verificate la risposta del server con un token scaduto o reinviato — la risposta attesa deve essere 403 Forbidden.

Suggerimenti di sicurezza e ottimizzazione

Conservate la Secret Key solo sul server e non trasmettetela al lato client.

Mettete in cache i risultati della verifica del captcha (siteverify) per 30–60 secondi — questo ridurrà il carico e accelererà la risposta.

Registrate i codici di errore (error-codes) per capire perché determinati controlli non sono andati a buon fine.

Aggiungete in fondo al modulo i link all’Informativa sulla privacy e ai Termini di utilizzo di Google, come richiesto dalla licenza.

Conclusione

Se ti è capitato un sito con un captcha o un altro sistema di protezione già installato e senza accesso al codice, nessun problema! È piuttosto facile capire quale tecnologia viene utilizzata. Per verificare che tutto funzioni correttamente, puoi usare il servizio di riconoscimento CapMonster Cloud in un ambiente di test isolato, così da assicurarti che il meccanismo di elaborazione dei token e la logica di verifica funzionino correttamente.

Nel caso di reCAPTCHA V2, è sufficiente individuare il sistema, analizzarne il comportamento e assicurarsi che la protezione funzioni correttamente. Nell’articolo abbiamo mostrato come riconoscere reCAPTCHA V2 e dove trovare le istruzioni per la sua integrazione o riconfigurazione, in modo da poter mantenere la protezione in modo affidabile e controllarne il funzionamento.

Link utili

Documentazione reCAPTCHA v2 →Documentazione CapMonster Cloud (reCAPTCHA v2) →Risoluzione di reCAPTCHA v2 con CapMonster Cloud →Come risolvere reCAPTCHA v2 in JavaScript con Selenium e CapMonster Cloud →Come risolvere reCAPTCHA v2 in Python con Selenium e CapMonster Cloud →Come risolvere reCAPTCHA v2 in C# con Selenium e CapMonster Cloud →

L'estensione browser di CapMonster Cloud è disponibile per Chrome e Firefox. La guida completa all'installazione e all'uso è disponibile qui.

reCAPTCHA v2 e CapMonster Cloud

reCAPTCHA v2
e CapMonster Cloud