Rozszerzenie do przeglądarek

Dla firm

Ceny

Blogu

Dokumentacja

Polski

Cloudflare Waiting Room
i CapMonster Cloud

Rozwiązywanie captcha, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest Cloudflare Waiting Room, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu Cloudflare Waiting Room, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest Cloudflare Waiting Room

Cloudflare Waiting Room to wirtualna kolejka, która chroni stronę przed przeciążeniem przy nagłym wzroście ruchu. Jeśli odwiedzających jest zbyt wielu, „nadmiarowi” użytkownicy są tymczasowo kierowani na stronę oczekiwania, gdzie widzą informacje o swojej pozycji w kolejce i przewidywanym czasie wejścia. Gdy tylko zwolni się miejsce, automatycznie uzyskują dostęp do strony.

Jak rozwiązać Waiting Room za pomocą CapMonster Cloud

Podczas testowania mechanizmu Waiting Room ważne jest upewnienie się, że kolejka działa poprawnie i reguluje dostęp do strony.

Oto jak można to sprawdzić:

Otwórz stronę, na której aktywny jest Waiting Room, i upewnij się, że kolejka wyświetla się po przekroczeniu limitu użytkowników.
Spróbuj wejść na stronę z kilku urządzeń lub przeglądarek jednocześnie, aby sztucznie wygenerować obciążenie — część zapytań powinna trafić do kolejki.
Sprawdź, czy użytkownicy, którzy trafili do kolejki, widzą stronę oczekiwania, a następnie są automatycznie wpuszczani na stronę, gdy zwolni się miejsce.
Upewnij się, że ponowne odświeżenie strony nie usuwa użytkownika z kolejki.

Do automatycznych testów i rozpoznawania captcha można użyć wyspecjalizowanych usług, na przykład CapMonster Cloud — narzędzia, które przyjmuje parametry captcha, przetwarza je na swoich serwerach i zwraca gotowe rozwiązanie. To rozwiązanie (token lub plik cookie) można podstawić do formularza lub przeglądarki, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przesyłasz swój klucz API, typ captcha i jej parametry. Serwis zwraca unikalny taskId, za pomocą którego później można uzyskać wynik.

Wysyłanie żądania API

W zapytaniu o rozwiązanie Cloudflare Waiting Room należy podać następujące parametry:

type - TurnstileTask;

websiteURL - adres strony, na której znajduje się weryfikacja;

websiteKey - klucz Cloudflare na stronie docelowej;

cloudflareTaskType - wait_room;

htmlPageBase64 - Strona HTML w formacie base64, zawierająca nagłówek <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent przeglądarki. Przesyłaj tylko aktualny UA z systemu Windows;

Również do tego zadania konieczne jest użycie własnych serwerów proxy:

proxyType :

http - zwykły proxy HTTP/HTTPS;
https - wypróbuj tę opcję, jeśli «http» nie działa (wymagane dla niektórych niestandardowych proxy);
socks4 - proxy typu SOCKS4;
socks5 - proxy typu SOCKS5;

proxyAddress - Adres IP proxy IPv4/IPv6;

proxyPort - port proxy;

proxyLogin - login serwera proxy;

proxyPassword - hasło serwera proxy.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Podstawienie cf_clearance

Otrzymane rozwiązanie (cookie cf_clearance) można ustawić w przeglądarce lub wysłać wraz z zapytaniem HTTP, podając je w nagłówku Cookie: cf_clearance=. Również do automatyzacji i testowania wygodnie jest używać Puppeteer, Selenium lub Playwright, które pozwalają emulować działania użytkownika, podstawiać pliki cookie i wysyłać formularze.

Poniżej znajduje się przykładowe zapytanie do Twojej strony z wartościami cookie uzyskanymi wcześniej. Jest to wygodne do testowania: można przesyłać zarówno poprawne, jak i celowo błędne wartości, aby upewnić się, że Twoja logika przetwarzania dostępu i walidacji działa poprawnie.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Istnieje również doskonała możliwość przetestowania rozpoznawania captcha za pomocą rozszerzenia przeglądarki CapMonster Cloud, które pozwala szybko sprawdzić działanie captcha bezpośrednio na stronie i śledzić proces rozwiązywania w czasie rzeczywistym bez pisania kodu – dostępne do instalacji w Chrome i Firefox.

Jak podłączyć Cloudflare Waiting Room do swojej strony

Aby pewnie poruszać się w działaniu captcha na swojej stronie, rozumieć logikę jej weryfikacji, ponownie podłączyć lub skonfigurować, zalecamy zapoznanie się z tą sekcją. Opisano w niej proces podłączania ochrony — pomoże to szybko zrozumieć wszystkie niuanse.

Wymagania i przygotowanie

Plan Cloudflare: Waiting Room jest dostępny dla planów Business i Enterprise.
CDN i proxy: Twoja strona musi być podłączona do Cloudflare, a rekord DNS dla domeny lub subdomeny musi mieć status proxied.
Pliki cookie: Odwiedzający muszą obsługiwać pliki cookie, ponieważ Cloudflare używa ich do śledzenia pozycji w kolejce.
Zdecyduj, które strony/użytkownicy będą w kolejce, a które będą omijać Waiting Room (np. administratorzy, VIP, określone ścieżki).

1. Zarejestruj się w Cloudflare i podłącz swoją stronę.

2. W sekcji Traffic → Waiting Room utwórz nową kolejkę:

3. Kliknij Create Waiting Room.

Podaj:

Hostname / URL, gdzie Waiting Room będzie aktywny.
Nazwę Waiting Room (do ewidencji wewnętrznej).
Maksymalną liczbę jednocześnie przepuszczanych użytkowników (opcjonalnie, jeśli potrzebne jest ograniczenie obciążenia).

4. Skonfiguruj wygląd strony oczekiwania:

Można użyć szablonu Cloudflare lub własnego HTML/CSS.
Dodaj logo, informację o czasie oczekiwania, instrukcje dla użytkowników.

5. Zapisz i aktywuj Waiting Room.

6. Konfiguracja reguł (Rules)

Cloudflare pozwala wykluczyć określony ruch z kolejki.

Typowe reguły obejścia (Bypass Rules):

Adresy IP administratora: zawsze przepuszczać.
Ścieżki/URL: wykluczyć pliki statyczne (.js, .css, .png) lub określone strony.
Geotargetowanie: wykluczyć określone kraje.
Query string: wykluczyć określone parametry GET.

Przykład reguły obejścia ścieżki w Dashboardzie

W Waiting Room → Manage Rules → Create new bypass rule.
Skonfiguruj:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Zapisz i wdróż (Deploy).

Wszystkie reguły obejścia pozwalają wykluczyć ruch z liczby aktywnych użytkowników, aby nie wpływał on na kolejkę.

Zaawansowane możliwości:

Scheduled Event: włączanie Waiting Room tylko w określonym czasie (np. na wyprzedaże).
Analytics: śledzenie liczby użytkowników w kolejce, czasu oczekiwania i przepustowości.
Dodatkowe hostnames/paths: jeden Waiting Room może działać na kilku subdomenach lub ścieżkach.

Zarządzanie przez API:

Cloudflare Waiting Room API pozwala:

Tworzyć, modyfikować i usuwać reguły obejścia.
Przeglądać listę reguł.
Zarządzać wszystkimi ustawieniami Waiting Room programowo.

Przykład tworzenia reguły obejścia przez API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Weryfikacja działania

1) Otwórz stronę z różnych przeglądarek/urządzeń.

2) Sprawdź:

Czy Waiting Room pojawia się po przekroczeniu limitu.
Czy pozycja w kolejce jest zachowywana po odświeżeniu strony.
Czy działają reguły obejścia (np. IP admina przechodzi bez oczekiwania).

Możliwe błędy i debugowanie

Nieprawidłowa domena lub błędna konfiguracja kolejki

Strona waiting room nie wyświetla się. Sprawdź, czy reguła kolejki jest przypisana do właściwego URI, ścieżki lub hosta.

Przekroczenie limitu czasu ładowania strony lub tokena kolejki

Klient nie doczekał się odpowiedzi serwera. Zwiększ limity czasu (timeout) w testach i monitoringu, aby poprawnie obsługiwać opóźnienia.

Ponowna weryfikacja lub przeterminowany token kolejki

Jeśli użytkownik użyje już wygasłego tokena lub nieważnych plików cookie, system ponownie pokaże stronę oczekiwania.

Konflikt z innymi weryfikacjami dostępu

Jednoczesne używanie Waiting Room i innych reguł autoryzacji/ochrony przed botami może prowadzić do cyklicznych weryfikacji. Postępuj zgodnie z zaleceniami dotyczącymi kolejności weryfikacji i logiki przepuszczania użytkowników.

Sprawdzenie odporności ochrony

Po integracji upewnij się, że system faktycznie chroni stronę przed automatycznymi działaniami.

Spróbuj zażądać strony bez specjalnych plików cookie — użytkownik powinien trafić do waiting room.

Przetestuj ponowne wejście z już ustawionymi plikami cookie — użytkownik powinien ominąć kolejkę i trafić do głównej zawartości.

Przeprowadź testy obciążeniowe (np. za pomocą k6 lub JMeter) przy dużej szybkości zapytań — strona waiting room powinna wyświetlać się poprawnie, a serwer kolejki powinien pozostać stabilny.

Sprawdź reakcję serwera na przeterminowane lub nieprawidłowe pliki cookie/tokeny. Oczekiwany wynik — użytkownik ponownie trafia na stronę oczekiwania.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Skonfiguruj reguły kolejki i TTL tokenów zgodnie z poziomem obciążenia i ryzykiem

Skonfiguruj reguły kolejki i TTL tokenów zgodnie z poziomem obciążenia i ryzykiem

Przechowuj wszystkie sekrety (np. klucze podpisu tokena) tylko na serwerze

Loguj zdarzenia kolejki i status przejścia, aby zrozumieć przyczyny trafiania użytkowników do waiting room i wykrywać fałszywe alarmy.

Loguj zdarzenia kolejki i status przejścia, aby zrozumieć przyczyny trafiania użytkowników do waiting room i wykrywać fałszywe alarmy.

Dla przejrzystości dodaj linki do <b>Polityki prywatności</b> i <b>Warunków korzystania ze strony na stronach waiting room</b>.

Dla przejrzystości dodaj linki do Polityki prywatności i Warunków korzystania ze strony na stronach waiting room.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku Cloudflare Waiting Room wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować Cloudflare Waiting Room oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja Cloudflare Waiting Room →

Dokumentacja CapMonster Cloud (praca z Cloudflare Waiting Room) →

Co to jest Cloudflare CAPTCHA i jak ją rozwiązać za pomocą CapMonster Cloud →

Jak Cloudflare wykrywa ruch automatyczny: ochrona strony przed botami →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

Cloudflare Waiting Room i CapMonster Cloud

Jak rozwiązać Waiting Room za pomocą CapMonster Cloud

Cloudflare Waiting Room
i CapMonster Cloud