Extensie voor browsers

Voor bedrijven

Prijzen

Bloggen

Documentatie

Nederlands

reCAPTCHA v2 Enterprise
en CapMonster Cloud

Captcha’s oplossen, integreren op je site en end-to-end testen.

Heb je een site geërfd met een ingebouwde captcha of andere bescherming, maar zonder toegang tot de broncode? Dan wil je natuurlijk weten welke oplossing draait, of die goed is ingesteld en hoe je de werking test.

In dit artikel hebben we geprobeerd antwoord te geven op alle belangrijke vragen. De eerste stap bij het oplossen van het vraagstuk is vaststellen welk beveiligingssysteem wordt gebruikt. Daarvoor kun je de lijst met populaire captcha’s en anti-botbeveiligingssystemen raadplegen, met visuele voorbeelden en kernkenmerken die je helpen snel te bepalen waarmee je te maken hebt.

Als je ontdekt dat je website reCAPTCHA v2 Enterprise gebruikt, is de volgende stap om de eigenschappen en werking ervan uitgebreider te bestuderen. In dit artikel vind je ook een handleiding voor het integreren van reCAPTCHA v2 Enterprise, zodat je volledig begrijpt hoe het systeem op je website werkt. Zo kun je niet alleen de huidige bescherming beter doorgronden, maar ook het onderhoud ervan goed plannen.

Wat is Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise is de zakelijke variant van Google’s standaardbescherming tegen spam en geautomatiseerde aanvallen. Het bepaalt nauwkeuriger of een echte gebruiker of een bot de pagina bezoekt en gebruikt de Google Cloud API voor tokenvalidatie. Qua uiterlijk lijkt het sterk op de gewone v2 met checkbox en beeldopdrachten, maar het laadt https://www.google.com/recaptcha/enterprise.js voor extra beveiliging.

Zo los je reCAPTCHA v2 Enterprise op met CapMonster Cloud

Bij het testen van formulieren met reCAPTCHA v2 Enterprise moet je vaak bevestigen dat de captcha goed is ingebouwd en werkt.

Je kunt de captcha op je site handmatig testen.

Open de pagina met het formulier en controleer of de captcha verschijnt.
Probeer het formulier te versturen zonder oplossing — de server hoort een fout terug te geven.
Na een succesvolle oplossing moet het formulier probleemloos worden verzonden.

Voor automatische oplossingen kun je tools zoals CapMonster Cloud gebruiken. Deze ontvangen de captcha-parameters, verwerken ze op hun servers en sturen een token terug dat je in het formulier kunt zetten om de controle zonder gebruikersinteractie te omzeilen.

Werken met CapMonster Cloud via de API bestaat doorgaans uit de volgende stappen:

Taak aanmaken

Stuur in deze stap je API-sleutel, captchatype en parameters. De dienst retourneert een unieke taskId om later het resultaat op te vragen.

API-aanvraag versturen

Neem de volgende parameters op:

type - RecaptchaV2EnterpriseTask;

websiteURL - de URL van de pagina met de captcha;

websiteKey - de sitekey op die pagina;

enterprisePayload - geef deze mee als je reCAPTCHA Enterprise-widget een extra s-veld doorstuurt in het object dat naar grecaptcha.enterprise.render gaat samen met de sitekey;

pageAction - de action-waarde die naar Google wordt gestuurd. Standaard: verify.

Meer informatie over de parameters en hoe je die automatisch verzamelt vind je in de CapMonster Cloud documentatie.

Endpoint voor het versturen van de taak:

https://api.capmonster.cloud/createTask

Voorbeeldrequest:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Respons:

{
  "errorId":0,
  "taskId":407533072
}

Resultaat ontvangen

Controleer na het aanmaken van de taak regelmatig de status.

Adres voor het ontvangen van het resultaat:

https://api.capmonster.cloud/getTaskResult

Voorbeeldrequest:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respons:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Token op de pagina plaatsen

Plaats de ontvangen token ("gRecaptchaResponse") in een verborgen veld of geef hem door aan een JS-functie om de oplossing te bevestigen. De server accepteert dan het formulier. Gebruik Puppeteer, Selenium of Playwright om gebruikersacties te emuleren, tokens in te voegen en formulieren automatisch te verzenden.

In plaats van een token kun je ook de klikmethode gebruiken. Zie de documentatie van CapMonster Cloud voor meer informatie.

reCAPTCHA v2 Enterprise oplossen met kant-en-klare libraries

CapMonster Cloud biedt SDK’s voor Python, JavaScript (Node.js) en C#.

Python

JavaScript

Oplossen, token plaatsen en formulier versturen

Een Node.js-voorbeeld voor de volledige workflow: HTML en parameters via HTTP ophalen, antwoord versturen en resultaat verwerken, of met tools zoals Playwright de pagina openen, op de captcha wachten, parameters (ook testdata) sturen, de uitkomst via de CapMonster-client ophalen en de token in het formulier plaatsen.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Open de pagina met de captcha
  await page.goto('https://example.com');

  // 3. Maak de CapMonster Cloud-client
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Configureer de oplossing-request
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Optionele enterprise-parameter
  });

  // 5. Los de captcha op via CapMonster
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Captcha-token:', token);

  // 6. Plaats de token in een verborgen veld
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Optioneel) Verstuur het formulier — pas de selector aan
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Met de CapMonster Cloud browserextensie test je captcha’s direct op de pagina en bekijk je het proces realtime zonder code. Beschikbaar voor Chrome en Firefox.

reCAPTCHA v2 Enterprise koppelen aan je site

Wil je begrijpen hoe de captcha op je site werkt, hoe de validatie zich gedraagt en hoe je deze opnieuw kunt koppelen of opnieuw kunt configureren? Lees dan deze sectie. Hierin wordt de volledige beveiligingsinstelling stap voor stap uitgelegd, zodat je snel alle details kunt afvinken.

Omdat reCAPTCHA Enterprise op Google Cloud draait, moet je eerst een project aanmaken in de console:

1. Ga naar de Google Cloud Console.

2. Kies in het bovenste menu een bestaand project of klik op Nieuw project.

3. Vul een projectnaam in, geef je organisatie op en bevestig het aanmaken.

HowTo Connect image 1

4. Open de API-pagina: reCAPTCHA Enterprise API en klik op Inschakelen.

5. Ga in de console naar Sleutel maken en klik op Sleutel maken.

HowTo Connect image 2

6. Configureer de basisinstellingen:

Weergavenaam: een label waarmee je de sleutel makkelijk herkent (bijvoorbeeld MySite Login Page).
Toepassingstype: kies WEB (sites) of Mobiele app. Dit kun je later niet meer wijzigen.
Domeinlijst: voeg de domeinen toe waarop deze sleutel wordt gebruikt.

Open daarna Aanvullende instellingen, schakel Ga je challenges gebruiken? in en activeer Checkbox Challenge.

HowTo Connect image 3

7. Klik op Maken. Je krijgt een sleutel die je aan je site moet toevoegen om de bescherming te activeren.

HowTo Connect image 3

8. Voeg het script toe aan je pagina.

Voorbeeld van een HTML-snippet die je op je site kunt insluiten

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Valideer de response op de server.

PHP-voorbeeld

De token (g-recaptcha-response) wordt naar de backend gestuurd.
Hij is 2 minuten geldig, valideer hem dus zo snel mogelijk nadat je hem ontvangt! Voor een veilige communicatie met de API raden we de officiële Google Cloud-bibliotheken aan:

<?php
require 'vendor/autoload.php';

// Installeer de Google Cloud-bibliotheken via Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Valideer de reCAPTCHA Enterprise-token en haal de risicoscore op.
 *
 * @param string $recaptchaKey Je reCAPTCHA-sleutel voor site/app
 * @param string $token Token ontvangen van de client
 * @param string $projectId Google Cloud-project-ID
 * @param string $action Actienaam die aan de token is gekoppeld
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Maak de assessment-gebeurtenis aan
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Token is ongeldig: ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Risicoscore: ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'De action in de reCAPTCHA-tag komt niet overeen met de verwachte waarde';
        }
    } catch (Exception $e) {
        echo 'Fout bij het controleren van reCAPTCHA: ' . $e->getMessage();
    }
}

// Roep de functie aan met de variabelen
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Mogelijke fouten en debugging

Ongeldige site of sleutel

De captcha laadt niet of geeft invalid-input-secret terug.

Oplostijd verstreken

De server ontving het antwoord niet op tijd. Verleng de wachttijd.

Lege token

Fout bij het doorgeven van het resultaat aan de pagina.

Response success=false

De token is verlopen, hergebruikt of gemanipuleerd. Activeer request-logging en controleer het veld error-codes in de Google-respons.

Controle van de robuustheid

Controleer na de integratie of het systeem de site echt beschermt tegen geautomatiseerde acties.

Probeer een verzoek te versturen zonder de captcha op te lossen — de server moet success: false. teruggeven.

Voer een loadtest uit (bijvoorbeeld met k6 of JMeter) bij een snelheid van meer dan 100 verzoeken per seconde — de captcha moet correct worden weergegeven en het validatiesysteem moet stabiel blijven.

Controleer de reactie van de server bij een verlopen of opnieuw verzonden token — de verwachte response moet 403 Forbidden. zijn.

Aanbevelingen voor veiligheid en optimalisatie

Bewaar de Secret Key alleen op de server en stuur deze niet naar de client-side.

Cache de resultaten van de captcha-verificatie (siteverify) gedurende 30–60 seconden — dit vermindert de belasting en versnelt de response.

Log de foutcodes (error-codes) om te begrijpen waarom bepaalde controles zijn mislukt.

Voeg onderaan het formulier links toe naar het privacybeleid en de Google-gebruiksvoorwaarden, zoals door de licentie vereist.

Conclusie

Als je een website in beheer krijgt waarop al een captcha of een ander beveiligingssysteem is geïnstalleerd en je geen toegang hebt tot de code, is dat geen probleem! Het is vrij eenvoudig te bepalen welke technologie precies wordt gebruikt. Voor het controleren of alles correct werkt, kun je de herkenningsservice CapMonster Cloud in een geïsoleerde testomgeving gebruiken, zodat je zeker weet dat het tokenverwerkingsmechanisme en de validatielogica correct functioneren.

In het geval van reCAPTCHA v2 Enterprise is het voldoende om het systeem te herkennen, het gedrag te analyseren en te bevestigen dat de beveiliging correct werkt. In het artikel hebben we laten zien hoe je reCAPTCHA v2 Enterprise kunt herkennen en waar je instructies vindt om het te koppelen of opnieuw te configureren, zodat je de bescherming met vertrouwen kunt onderhouden en de werking onder controle kunt houden.

Handige links

Project aanmaken en meer over reCAPTCHA v2 Enterprise →CapMonster Cloud documentatie (reCAPTCHA v2 Enterprise) →reCAPTCHA Enterprise oplossen met CapMonster Cloud: stapsgewijs →

De CapMonster Cloud browserextensie is beschikbaar voor Chrome en Firefox. Een volledige gebruikshandleiding vind je hier.

reCAPTCHA v2 Enterprise en CapMonster Cloud

reCAPTCHA v2 Enterprise
en CapMonster Cloud