Extensie voor browsers

Voor bedrijven

Prijzen

Bloggen

Documentatie

Nederlands

Cloudflare Challenge
en CapMonster Cloud

Captcha oplossen, installatie op de website en testen.

Heb je een site geërfd met een ingebouwde captcha of andere bescherming, maar zonder toegang tot de broncode? Dan wil je natuurlijk weten welke oplossing draait, of die goed is ingesteld en hoe je de werking test.

In dit artikel hebben we geprobeerd antwoord te geven op alle belangrijke vragen. De eerste stap bij het oplossen van het vraagstuk is vaststellen welk beveiligingssysteem wordt gebruikt. Daarvoor kun je de lijst met populaire captcha’s en anti-botbeveiligingssystemen raadplegen, met visuele voorbeelden en kernkenmerken die je helpen snel te bepalen waarmee je te maken hebt.

Als je ontdekt dat je website Cloudflare Challenge gebruikt, is de volgende stap om de eigenschappen en werking ervan uitgebreider te bestuderen. In dit artikel vind je ook een handleiding voor het integreren van Cloudflare Challenge, zodat je volledig begrijpt hoe het systeem op je website werkt. Zo kun je niet alleen de huidige bescherming beter doorgronden, maar ook het onderhoud ervan goed plannen.

Wat is Cloudflare Challenge

Cloudflare Challenge (of Interstitial Challenge Pages) is een verificatiesysteem van Cloudflare, ontworpen om websites te beschermen tegen bots, spam en schadelijk verkeer. Wanneer Cloudflare vermoedt dat een verzoek niet van een echte bezoeker komt (bijvoorbeeld door een verdacht IP-adres of ontbrekende JavaScript), wordt een Challenge weergegeven — een 'uitdaging' die moet worden voltooid om te bevestigen dat je een mens bent. Dit type verificatie verschilt van Turnstile, omdat de gebruiker eerst een tussenpagina ziet met het bericht “Just a moment…” en “Verifying you are human. This may take a few seconds.”

Hoe Cloudflare Challenge op te lossen met CapMonster Cloud

Bij het testen van de bescherming met de Cloudflare Challenge is het belangrijk om te controleren of de verificatie correct werkt en verdacht verkeer goed afvangt.

U kunt de geïnstalleerde challenge op uw pagina handmatig testen:

Open de pagina in incognitomodus waar de Challenge verwacht wordt en zorg ervoor dat de captcha wordt weergegeven.
Probeer onjuiste cf_clearance cookies in de browser te plaatsen (zie details hieronder) — de server moet een fout retourneren.
Na succesvolle oplossing van de captcha zou de daadwerkelijke websitepagina zonder verificatie moeten openen.

Voor automatische tests en captcha-herkenning kunt u gespecialiseerde diensten zoals CapMonster Cloud gebruiken — een tool die captcha-parameters ontvangt, deze op zijn servers verwerkt en een kant-en-klare oplossing teruggeeft. Deze oplossing (token of cookie) kan in een formulier of browser worden geplaatst om de verificatie zonder gebruikersinteractie te doorlopen.

Werken met CapMonster Cloud via de API bestaat doorgaans uit de volgende stappen:

Taak aanmaken

In deze stap geeft u uw API-sleutel, captcha-type en parameters door. De service retourneert een unieke taskId, waarmee u later het resultaat kunt ophalen.

API-aanvraag versturen

In het verzoek om de Cloudflare Challenge op te lossen, moeten de volgende parameters worden opgegeven:

type - TurnstileTask

websiteURL - Het adres van de pagina waarop de captcha wordt opgelost

websiteKey - Turnstile-sleutel (elke willekeurige tekenreeks kan worden doorgegeven)

cloudflareTaskType - cf_clearance

htmlPageBase64 - De in Base64 gecodeerde HTML-pagina “Just a moment”, die wordt teruggegeven met statuscode 403 bij toegang tot een site met deze bescherming.

userAgent - Browser User-Agent. Geef alleen de actuele UA van Windows door.

Voor deze taak is het ook noodzakelijk om uw proxies te gebruiken:

proxyType :

http – standaard HTTP/HTTPS proxy;
https – probeer dit als “http” niet werkt (vereist voor sommige aangepaste proxies);
socks4 – SOCKS4 proxy;
socks5 – SOCKS5 proxy.

proxyAddress - IP-adres van de proxy (IPv4/IPv6).

proxyPort - Poort van de proxy.

proxyLogin - Inloggegevens van de proxy.

proxyPassword - Wachtwoord van de proxy.

Meer informatie over de parameters en hoe je die automatisch verzamelt vind je in de CapMonster Cloud documentatie.

Endpoint voor het versturen van de taak:

https://api.capmonster.cloud/createTask

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "cf_clearance",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Respons:

{
  "errorId":0,
  "taskId":407533072
}

Resultaat ontvangen

Controleer na het aanmaken van de taak regelmatig de status.

Adres voor het ontvangen van het resultaat:

https://api.capmonster.cloud/getTaskResult

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respons:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Plaatsing van cf_clearance

De verkregen oplossing (cookie cf_clearance) kan in de browser worden geplaatst of worden verzonden met een HTTP-verzoek in de header Cookie: cf_clearance=<waarde>. Voor automatisering zijn tools zoals Puppeteer, Selenium of Playwright handig om gebruikersacties te emuleren, cookies in te stellen en formulieren te verzenden.

Cloudflare Challenge herkennen met kant-en-klare bibliotheken

CapMonster Cloud biedt kant-en-klare bibliotheken voor Python, JavaScript (Node.js) en C#.

Python

JavaScript

Oplossen van Challenge en plaatsen van cookie

Node.js-voorbeeld voor de volledige cyclus van captcha-herkenning op uw webpagina. Mogelijke benaderingen: HTTP-verzoeken gebruiken om HTML en beveiligingsparameters op te halen, antwoord verzenden en resultaat verwerken. Of met automatiseringstools (zoals Playwright) — open de pagina, wacht op verificatie, stuur parameters via CapMonster Cloud, ontvang resultaat, plaats cookie in browser (voor testen kunt u zowel correcte als incorrecte waarden gebruiken) en bekijk resultaat.


  // npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from 'playwright';
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  TurnstileRequest
} from '@zennolab_com/capmonstercloud-client';

// Instellingen — vervang door uw waarden
const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://www.example.com';
const SITE_KEY = 'xxxxx'; // elke string kan worden verzonden
const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36';

// Proxy-instellingen
const proxy = {
  proxyType: 'http',
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Start browser
  const browser = await chromium.launch({
    headless: false,
    proxy: proxy.proxyAddress ? {
      server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
      username: proxy.proxyLogin,
      password: proxy.proxyPassword
    } : undefined
  });

  // Creëer context met benodigde User-Agent en venstergrootte (optioneel)
  const context = await browser.newContext({ userAgent: USER_AGENT, viewport: { width: 1280, height: 800 } });

  // Maak pagina en laad doel-URL
  const page = await context.newPage();
  const resp = await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Status van initiële aanvraag:', resp?.status());

  // Haal HTML van de pagina op en converteer naar Base64 voor CapMonster
  const htmlBase64 = Buffer.from(await page.content(), 'utf-8').toString('base64');

  // Maak Turnstile-taak om cf_clearance te verkrijgen
  const solveResult = await cmcClient.Solve(new TurnstileRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    cloudflareTaskType: 'cf_clearance',
    htmlPageBase64: htmlBase64,
    userAgent: USER_AGENT,
    proxy: proxy.proxyAddress ? proxy : undefined
  }));

  const cf_clearance = solveResult?.solution?.cf_clearance;
  if (!cf_clearance) {
    console.error('Kon cf_clearance niet verkrijgen van CapMonster:', solveResult);
    await browser.close();
    return;
  }
  console.log('cf_clearance verkregen:', cf_clearance);

  // Voeg cf_clearance-cookie toe aan browsercontext
  await context.addCookies([{
    name: 'cf_clearance',
    value: cf_clearance,
    domain: '.' + new URL(TARGET_URL).hostname,
    path: '/',
    httpOnly: true,
    secure: true
  }]);
  console.log('cf_clearance-cookie succesvol toegevoegd aan browser.');

  // Pagina opnieuw openen met cf_clearance ingesteld
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Status van het verzoek na het instellen van cf_clearance:', resp2?.status());

  await browser.close();
  console.log('Script voltooid.');
}

main().catch(err => {
  console.error('Er is een fout opgetreden:', err);
  process.exit(1);
});

Er is ook een handige mogelijkheid om captcha-herkenning te testen met de CapMonster Cloud-browserextensie, waarmee u het proces realtime op de pagina kunt volgen zonder code te schrijven – beschikbaar voor Chrome en Firefox.

Cloudflare Challenge verbinden met uw website

Om het gedrag van captcha op uw site te begrijpen, de verificatielogica en hoe u opnieuw kunt verbinden of configureren, raden we deze sectie aan. Hier wordt het configuratieproces uitgelegd, zodat u snel alle details kunt begrijpen.

1. Registreer of log in en koppel uw domein aan Cloudflare.

2. Schakel Challenge in via WAF-regel.

Ga naar: Security → Custom Rules → Create rule

Meer informatie is beschikbaar hier.

Voorbeeldconditie (controleer de gehele loginpagina):

http.request.uri.path contains "/login"

3. Kies actie:

Managed Challenge (aanbevolen) — het systeem bepaalt automatisch of en welke challenge wordt weergegeven.

U kunt ook Interactive Challenge, Skip, Block of JavaScript Challenge kiezen. Meer informatie over de verificatietypes vindt u in de documentatie en u kunt beslissen welke het meest geschikt is voor u.

Stel de overige gewenste instellingen in en klik op Deploy.

Na verificatie ontvangt de gebruiker een cf_clearance-cookie, waardoor Challenge niet opnieuw wordt weergegeven op hetzelfde apparaat en browser.

Als u de Turnstile-widget op uw site wilt integreren, kunt u het volgende artikel bekijken. Cloudflare Turnstile stelt bezoekers in staat om bot-verificatie te passeren zonder afbeeldingen-captchas of complexe taken, terwijl het een token uitgeeft dat bevestigt dat de gebruiker een mens is.

Mogelijke fouten en debugging

Ongeldige domein of regelconfiguratie

Challenge wordt niet weergegeven. Controleer of de WAF-regel is gekoppeld aan de juiste URI, pad of host.

Timeout bij laden pagina of challenge

Browser of client heeft niet gewacht op Cloudflare-response. Verhoog de timeouts in tests en monitoring.

Herhaalde controle of verlopen cf_clearance

Als de bezoeker een verlopen cf_clearance gebruikt, toont het systeem opnieuw de Challenge.

Andere verificatie na Challenge

Het gelijktijdig gebruik van Challenge + aangepaste regels kan cycluscontroles veroorzaken. Volg Cloudflare-aanbevelingen om dit op te lossen.

Controle van de robuustheid

Probeer de pagina aan te vragen zonder cf_clearance — Challenge moet worden geactiveerd.

Test herhaald bezoek met reeds ingestelde cf_clearance — de bezoeker moet extra controles op hetzelfde of lager niveau vermijden.

Voer een load-test uit (bijv. met k6 of JMeter) bij hoge aanvraagfrequentie — Challenge moet correct worden weergegeven en WAF stabiel blijven.

Controleer serverrespons bij verlopen of onjuiste cookies. Verwachte uitkomst: Challenge wordt opnieuw weergegeven.

Aanbevelingen voor veiligheid en optimalisatie

Configureer WAF-regels en Managed/JS/Interactive Challenge op basis van risiconiveau.

Configureer WAF-regels en Managed/JS/Interactive Challenge op basis van risiconiveau.

Log beveiligingsevenementen en Challenge-status om blokkeringen en false positives te begrijpen.

Log beveiligingsevenementen en Challenge-status om blokkeringen en false positives te begrijpen.

Voor transparantie en naleving, voeg links naar <b>Privacybeleid</b> en <b>Gebruiksvoorwaarden</b> van Cloudflare/site toe op Challenge-pagina’s.

Voor transparantie en naleving, voeg links naar Privacybeleid en Gebruiksvoorwaarden van Cloudflare/site toe op Challenge-pagina’s.

Conclusie

Als je een website in beheer krijgt waarop al een captcha of een ander beveiligingssysteem is geïnstalleerd en je geen toegang hebt tot de code, is dat geen probleem! Het is vrij eenvoudig te bepalen welke technologie precies wordt gebruikt. Voor het controleren of alles correct werkt, kun je de herkenningsservice CapMonster Cloud in een geïsoleerde testomgeving gebruiken, zodat je zeker weet dat het tokenverwerkingsmechanisme en de validatielogica correct functioneren.

In het geval van Cloudflare Challenge is het voldoende om het systeem te herkennen, het gedrag te analyseren en te bevestigen dat de beveiliging correct werkt. In het artikel hebben we laten zien hoe je Cloudflare Challenge kunt herkennen en waar je instructies vindt om het te koppelen of opnieuw te configureren, zodat je de bescherming met vertrouwen kunt onderhouden en de werking onder controle kunt houden.

Handige links

Cloudflare Challenge-documentatie →

CapMonster Cloud-documentatie (Cloudflare Challenge) →

Wat is Cloudflare CAPTCHA en hoe op te lossen met CapMonster Cloud →

Hoe Cloudflare automatisch verkeer detecteert: websitebescherming tegen bots →

De CapMonster Cloud browserextensie is beschikbaar voor Chrome en Firefox. Een volledige gebruikshandleiding vind je hier.

Cloudflare Challenge en CapMonster Cloud

Cloudflare Challenge
en CapMonster Cloud