Cloudflare Waiting Room
en CapMonster Cloud

Captcha's oplossen, installatie op de website en testen.

Heb je een site geërfd met een ingebouwde captcha of andere bescherming, maar zonder toegang tot de broncode? Dan wil je natuurlijk weten welke oplossing draait, of die goed is ingesteld en hoe je de werking test.

In dit artikel hebben we geprobeerd antwoord te geven op alle belangrijke vragen. De eerste stap bij het oplossen van het vraagstuk is vaststellen welk beveiligingssysteem wordt gebruikt. Daarvoor kun je de lijst met populaire captcha’s en anti-botbeveiligingssystemen raadplegen, met visuele voorbeelden en kernkenmerken die je helpen snel te bepalen waarmee je te maken hebt.

Als je ontdekt dat je website Cloudflare Waiting Room gebruikt, is de volgende stap om de eigenschappen en werking ervan uitgebreider te bestuderen. In dit artikel vind je ook een handleiding voor het integreren van Cloudflare Waiting Room, zodat je volledig begrijpt hoe het systeem op je website werkt. Zo kun je niet alleen de huidige bescherming beter doorgronden, maar ook het onderhoud ervan goed plannen.

Wat is Cloudflare Waiting Room

Cloudflare Waiting Room is een virtuele wachtrij die de website beschermt tegen overbelasting bij een plotselinge toename van het verkeer. Als er te veel bezoekers zijn, worden “overtollige” gebruikers tijdelijk naar een wachtpagina gestuurd, waar ze informatie zien over hun positie in de wachtrij en de geschatte toegangstijd. Zodra er een plek vrijkomt, krijgen ze automatisch toegang tot de site.

Hoe Waiting Room op te lossen via CapMonster Cloud

Bij het testen van het Waiting Room-mechanisme is het belangrijk om ervoor te zorgen dat de wachtrij correct werkt en de toegang tot de site reguleert.

Zo kunt u dit controleren:

Open de pagina waarop Waiting Room is geactiveerd en controleer of de wachtrij verschijnt wanneer de gebruikerslimiet wordt overschreden.
Probeer de site met meerdere apparaten of browsers tegelijk te bezoeken om kunstmatige belasting te genereren — een deel van de verzoeken zou in de wachtrij moeten worden geplaatst.
Controleer of gebruikers die in de wachtrij terechtkomen de wachtpagina zien en vervolgens automatisch tot de site worden toegelaten wanneer er een plek vrijkomt.
Zorg ervoor dat het vernieuwen van de pagina de gebruiker niet uit de wachtrij verwijdert.

Voor geautomatiseerd testen en captcha-herkenning kunt u gespecialiseerde diensten gebruiken, bijvoorbeeld CapMonster Cloud — een tool die captcha-parameters accepteert, deze op zijn servers verwerkt en een kant-en-klare oplossing retourneert. Deze oplossing (token of cookie) kan in een formulier of browser worden geplaatst om de controle zonder tussenkomst van de gebruiker te doorstaan.

Werken met CapMonster Cloud via de API bestaat doorgaans uit de volgende stappen:

Taak aanmaken

In deze fase geeft u uw API-sleutel, het captcha-type en de parameters door. De service retourneert een unieke taskId, waarmee later het resultaat kan worden opgehaald.

API-aanvraag versturen

In het verzoek om Cloudflare Waiting Room op te lossen, moeten de volgende parameters worden opgegeven:

type - TurnstileTask;

websiteURL - URL van de pagina waarop de controle zich bevindt;

websiteKey - Cloudflare-sleutel op de doelsite;

cloudflareTaskType - wait_room;

htmlPageBase64 - HTML-pagina in base64-formaat die de titel <title>Waiting Room powered by Cloudflare</title> bevat;

userAgent - User-Agent van de browser. Geef alleen een actuele UA van Windows OS door;

Ook is het voor deze taak noodzakelijk om uw eigen proxy's te gebruiken:

proxyType :

http - gewone HTTP/HTTPS-proxy;
https - probeer deze optie als «http» niet werkt (vereist voor sommige custom proxy's);
socks4 - proxy van het type SOCKS4;
socks5 - proxy van het type SOCKS5;

proxyAddress - IP-adres van de proxy IPv4/IPv6;

proxyPort - poort van de proxy;

proxyLogin - login van de proxyserver;

proxyPassword - wachtwoord van de proxyserver.

Meer informatie over de parameters en hoe je die automatisch verzamelt vind je in de CapMonster Cloud documentatie.

Endpoint voor het versturen van de taak:

https://api.capmonster.cloud/createTask

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Respons:

{
  "errorId":0,
  "taskId":407533072
}

Resultaat ontvangen

Controleer na het aanmaken van de taak regelmatig de status.

Adres voor het ontvangen van het resultaat:

https://api.capmonster.cloud/getTaskResult

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respons:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

cf_clearance vervanging

De verkregen oplossing (cookie cf_clearance) kan in de browser worden ingesteld of samen met het HTTP-verzoek worden verzonden door deze in de header Cookie: cf_clearance= op te geven. Ook is het voor automatisering en testen handig om Puppeteer, Selenium of Playwright te gebruiken, waarmee u gebruikersacties kunt emuleren, cookies kunt plaatsen en formulieren kunt verzenden.

Hieronder staat een voorbeeld van een verzoek aan uw pagina met vooraf verkregen cookie-waarden. Dit is handig voor het testen: u kunt zowel correcte als opzettelijk onjuiste waarden doorgeven om er zeker van te zijn dat uw logica voor toegangsverwerking en validatie correct werkt.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Er is ook een geweldige mogelijkheid om captcha-herkenning te testen met de CapMonster Cloud-browserextensie, waarmee u de captcha-werking direct op de pagina snel kunt controleren en het oplossingsproces in realtime kunt volgen zonder code te schrijven – beschikbaar voor installatie in Chrome en Firefox.

Hoe Cloudflare Waiting Room aan uw site te koppelen

Om vol vertrouwen te navigeren in de werking van de captcha op uw site, de logica van de controle te begrijpen, opnieuw verbinding te maken of opnieuw te configureren, raden we u aan dit gedeelte te bestuderen. Hierin wordt het proces van het aansluiten van de bescherming beschreven — dit zal u helpen snel alle nuances te begrijpen.

Vereisten en voorbereiding

Cloudflare Plan: Waiting Room is beschikbaar voor Business en Enterprise.
CDN en Proxying: Uw site moet verbonden zijn met Cloudflare en het DNS-record voor het domein of subdomein moet op proxied staan.
Cookies: Bezoekers moeten cookies ondersteunen, aangezien Cloudflare deze gebruikt om de positie in de wachtrij bij te houden.
Beslis welke pagina's/gebruikers in de wachtrij komen en welke de Waiting Room zullen omzeilen (bijvoorbeeld beheerders, VIP's, bepaalde paden).

1. Registreer u bij Cloudflare en koppel uw site.

2. Maak in de sectie Traffic → Waiting Room een nieuwe wachtrij aan:

3. Klik op Create Waiting Room.

Geef het volgende op:

Hostname / URL waar de Waiting Room actief zal zijn.
Naam van de Waiting Room (voor interne administratie).
Maximaal aantal gelijktijdig toegelaten gebruikers (optioneel, als een beperkte belasting vereist is).

4. Pas het ontwerp van de wachtpagina aan:

U kunt de Cloudflare-sjabloon of aangepaste HTML/CSS gebruiken.
Voeg een logo, informatie over de wachttijd en instructies voor gebruikers toe.

5. Sla op en activeer de Waiting Room.

6. Configuratie van regels (Rules)

Cloudflare maakt het mogelijk om bepaald verkeer uit te sluiten van de wachtrij.

Typische omzeilingsregels (Bypass Rules):

IP-adressen van de beheerder: altijd doorlaten.
Paden/URL: statische bestanden (.js, .css, .png) of bepaalde pagina's uitsluiten.
Geo-targeting: bepaalde landen uitsluiten.
Query string: bepaalde GET-parameters uitsluiten.

Voorbeeld van een regel voor het omzeilen van een pad in het Dashboard

Ga naar Waiting Room → Manage Rules → Create new bypass rule.
Configureer:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Opslaan en implementeren (Deploy).

Alle omzeilingsregels maken het mogelijk om verkeer uit te sluiten van de telling van actieve gebruikers, zodat het de wachtrij niet beïnvloedt.

Geavanceerde mogelijkheden:

Scheduled Event: inschakelen van Waiting Room alleen op bepaalde tijden (bijvoorbeeld voor uitverkoop).
Analytics: volgen van het aantal gebruikers in de wachtrij, wachttijd en doorvoer.
Extra hostnames/paths: één Waiting Room kan werken op meerdere subdomeinen of paden.

Beheer via API:

De Cloudflare Waiting Room API maakt het mogelijk om:

Omzeilingsregels te maken, te wijzigen en te verwijderen.
De lijst met regels te bekijken.
Alle instellingen van de Waiting Room programmatisch te beheren.

Voorbeeld van het maken van een omzeilingsregel via de API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Controle van de werking

1) Open de site via verschillende browsers/apparaten.

2) Controleer:

Verschijnt de Waiting Room bij overschrijding van de limiet?
Blijft de positie in de wachtrij behouden bij het vernieuwen van de pagina?
Werken de omzeilingsregels (bijvoorbeeld: admin-IP komt erdoor zonder te wachten)?

Mogelijke fouten en debugging

Ongeldig domein of onjuiste wachtrijconfiguratie

De waiting room-pagina wordt niet weergegeven. Controleer of de wachtrijregel is gekoppeld aan de juiste URI, het juiste pad of de juiste host.

Timeout bij laden pagina of wachtrij-token

De cliënt heeft niet op het antwoord van de server gewacht. Verhoog de timeouts in tests en monitoring om vertragingen correct af te handelen.

Herhaalde controle of verlopen wachtrij-token

Als de gebruiker een reeds verlopen token of ongeldige cookies gebruikt, toont het systeem opnieuw de wachtpagina.

Conflict met andere toegangscontroles

Gelijktijdig gebruik van Waiting Room en andere autorisatie-/bot-beschermingsregels kan leiden tot cyclische controles. Volg de aanbevelingen over de volgorde van controles en de logica voor het doorlaten van gebruikers.

Controle van de robuustheid

Controleer na de integratie of het systeem de site echt beschermt tegen geautomatiseerde acties.

Probeer de pagina op te vragen zonder speciale cookies — de gebruiker zou in de waiting room moeten belanden.

Test een nieuwe toegangspoging met reeds ingestelde cookies — de gebruiker zou de wachtrij moeten omzeilen en toegang moeten krijgen tot de hoofdinhoud.

Voer een belastingstest uit (bijvoorbeeld met k6 of JMeter) bij een hoge verzoeksnelheid — de waiting room-pagina moet correct worden weergegeven en de wachtrijserver moet stabiel blijven.

Controleer de reactie van de server bij verlopen of onjuiste cookies/tokens. Het verwachte resultaat is dat de gebruiker weer op de wachtpagina belandt.

Aanbevelingen voor veiligheid en optimalisatie

Configureer de wachtrijregels en de TTL van tokens in overeenstemming met het belastingsniveau en de risico's

Configureer de wachtrijregels en de TTL van tokens in overeenstemming met het belastingsniveau en de risico's

Bewaar alle geheimen (bijvoorbeeld sleutels voor tokenondertekening) alleen op de server

Bewaar alle geheimen (bijvoorbeeld sleutels voor tokenondertekening) alleen op de server

Log wachtrij-gebeurtenissen en de doorgangsstatus om te begrijpen waarom gebruikers in de waiting room belanden en om valse positieven te identificeren.

Log wachtrij-gebeurtenissen en de doorgangsstatus om te begrijpen waarom gebruikers in de waiting room belanden en om valse positieven te identificeren.

Voeg voor transparantie links toe naar het <b>Privacybeleid</b> en de <b>Gebruiksvoorwaarden van de site op de waiting room-pagina's</b>.

Voeg voor transparantie links toe naar het Privacybeleid en de Gebruiksvoorwaarden van de site op de waiting room-pagina's.

Conclusie

Als je een website in beheer krijgt waarop al een captcha of een ander beveiligingssysteem is geïnstalleerd en je geen toegang hebt tot de code, is dat geen probleem! Het is vrij eenvoudig te bepalen welke technologie precies wordt gebruikt. Voor het controleren of alles correct werkt, kun je de herkenningsservice CapMonster Cloud in een geïsoleerde testomgeving gebruiken, zodat je zeker weet dat het tokenverwerkingsmechanisme en de validatielogica correct functioneren.

In het geval van Cloudflare Waiting Room is het voldoende om het systeem te herkennen, het gedrag te analyseren en te bevestigen dat de beveiliging correct werkt. In het artikel hebben we laten zien hoe je Cloudflare Waiting Room kunt herkennen en waar je instructies vindt om het te koppelen of opnieuw te configureren, zodat je de bescherming met vertrouwen kunt onderhouden en de werking onder controle kunt houden.

Handige links

Documentatie Cloudflare Waiting Room →

Documentatie CapMonster Cloud (werken met Cloudflare Waiting Room) →

Wat is Cloudflare CAPTCHA en hoe dit op te lossen met CapMonster Cloud →

Hoe Cloudflare geautomatiseerd verkeer detecteert: bescherming van de site tegen bots →

De CapMonster Cloud browserextensie is beschikbaar voor Chrome en Firefox. Een volledige gebruikshandleiding vind je hier.

Cloudflare Waiting Room en CapMonster Cloud

Hoe Waiting Room op te lossen via CapMonster Cloud

Cloudflare Waiting Room
en CapMonster Cloud