Rozszerzenie do przeglądarek

Dla firm

Ceny

Blogu

Dokumentacja

Polski

DataDome CAPTCHA
i CapMonster Cloud

Rozwiązywanie CAPTCHA, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest DataDome CAPTCHA, kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu DataDome CAPTCHA, aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest DataDome

DataDome to system ochrony przed botami i atakami automatycznymi, który analizuje zachowanie użytkowników i parametry sieciowe, aby odróżnić prawdziwych użytkowników od złośliwego ruchu i zapewnić stabilne działanie strony lub aplikacji.

Przykłady DataDome CAPTCHA

Analiza zachowań

Ocena działań użytkownika (kliknięcia, przewijanie, szybkość interakcji).

Weryfikacja JavaScript

Ukryta weryfikacja przeglądarki i jej środowiska.

Weryfikacja sieci

Analiza adresów IP, nagłówków, proxy i znanych botnetów.

Challenge

Wyświetlanie CAPTCHA (zwykle w formie suwaka „Przesuń w prawo, aby rozwiązać zagadkę”), jeśli system ma wątpliwości.

Jak rozwiązać CAPTCHA DataDome za pomocą CapMonster Cloud

Podczas testowania ochrony DataDome ważne jest, aby upewnić się, że jest poprawnie zintegrowana i reaguje na podejrzany ruch. Do ręcznej weryfikacji otwórz stronę chronioną przez DataDome i sprawdź, czy system jest aktywny.

Spróbuj wykonać żądanie symulujące podejrzane zachowanie (np. zbyt częste odświeżanie strony lub wysyłanie formularza bez prawidłowych danych) — DataDome powinien zablokować dostęp lub wyświetlić stronę ochronną.

Do automatycznego testowania i rozwiązywania CAPTCHA można użyć specjalistycznych usług, np. CapMonster Cloud — narzędzia, które przyjmuje parametry CAPTCHA, przetwarza je na swoich serwerach i zwraca gotowe rozwiązanie. Rozwiązanie (token lub ciasteczko) można wprowadzić do formularza lub przeglądarki, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przekazujesz swój klucz API, typ CAPTCHA i jej parametry. Serwis zwraca unikalny taskId, po którym później można pobrać wynik.

Wysyłanie żądania API

W zapytaniu dotyczącym rozwiązania DataDome należy podać następujące parametry:

type - CustomTask

class - DataDome

websiteURL - adres głównej strony, na której rozwiązywana jest CAPTCHA.

captchaUrl (w metadata) - "captchaUrl" - link do CAPTCHA. Zwykle w formacie: "https://geo.captcha-delivery.com/captcha/?initialCid=..."

datadomeCookie (w metadata) - Twoje ciasteczka DataDome. Można je pobrać na stronie przy pomocy document.cookie (jeśli nie mają flagi HttpOnly), z nagłówka Set-Cookie: "datadome=..." lub bezpośrednio z kodu HTML strony initialCid.

userAgent - User-Agent przeglądarki. Używaj tylko aktualnego UA z systemu Windows.

Do tego zadania należy również użyć swoich proxy:

proxyType :

http - standardowy proxy HTTP/HTTPS;
https - wypróbuj, jeśli „http” nie działa (wymagane dla niektórych niestandardowych proxy);
socks4 - proxy typu SOCKS4;
socks5 - proxy typu SOCKS5.

proxyAddress - Adres IP proxy IPv4/IPv6.

proxyPort - Port proxy.

proxyLogin - Login do proxy.

proxyPassword - Hasło do proxy.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "DataDome",
    "websiteURL": "https://example.com",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
    "metadata": {
      "captchaUrl": "https://geo.captcha-delivery.com/interstitial/?initialCid=AHrlqAAAAAMA9UvsL58YLqIAXNLFPg%3D%3D&hash=C0705ACD75EBF650A07FF8291D3528&cid=7sfa5xUfDrR4bQTp1c2mhtiD7jj9TXExcQypjdNAxKVFyIi1S9tE0~_mqLa2EFpOuzxKcZloPllsNHjNnqzD9HmBA4hEv7SsEyPYEidCBvjZEaDyfRyzefFfolv0lAHM&referer=https%3A%2F%2Fwww.example.com.au%2F&s=6522&b=978936&dm=cm",
      "datadomeCookie": "datadome=VYUWrgJ9ap4zmXq8Mgbp...64emvUPeON45z"
    },
    "proxyType": "http",
    "proxyAddress": "123.45.67.89",
    "proxyPort": 8080,
    "proxyLogin": "proxyUsername",
    "proxyPassword": "proxyPassword"
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:


{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "domains": {
      "www.example.com": {
        "cookies": {
          "datadome": "P1w0VnjFcTFslfps0J4FaPpY_QPbPBW4MeYxj4LW~pztIfJiSSuBPr8oQTUHzdrfgv137FbOBd3kCUOOgny7LhIkhm5e1qdtzYM4s2e46U_qfERK4KiCy22MOSIDsDyh"
        },
        "localStorage": null
      }
    },
    "url": null,
    "fingerprint": null,
    "headers": null,
    "data": null
  }
}

Umieszczenie tokenu na stronie

Otrzymane rozwiązanie (ciasteczko datadome) można ustawić w przeglądarce lub wysłać wraz z żądaniem HTTP w nagłówku Cookie: datadome=<wartość>. Do automatyzacji i testowania wygodnie jest używać Puppeteer, Selenium lub Playwright, które pozwalają symulować działania użytkownika, wstawiać ciasteczka i wysyłać formularze.

Rozpoznawanie CAPTCHA DataDome przy użyciu gotowych bibliotek

Usługa CapMonster Cloud oferuje gotowe biblioteki do wygodnej pracy w językach Python i JavaScript (Node.js).

Python

JavaScript

Rozwiązanie DataDome i wstawienie ciasteczka

Przykład w Node.js dla pełnego cyklu rozpoznawania CAPTCHA na stronie. Możliwe podejścia: użycie żądań HTTP do pobrania HTML i parametrów systemu ochrony, wysłanie odpowiedzi i przetworzenie wyniku. Lub przy użyciu narzędzi do automatyzacji (np. Playwright) — otwórz stronę, poczekaj na weryfikację, wyślij parametry przez klienta CapMonster Cloud, odbierz wynik, wstaw ciasteczka do przeglądarki (do testów można użyć zarówno poprawnych, jak i niepoprawnych danych) i zobacz wynik.


// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, DataDomeRequest } from '@zennolab_com/capmonstercloud-client';

// Podaj swój klucz API CapMonster Cloud
const API_KEY = 'YOUR_API_KEY';

// Twoja strona jest chroniona przez DataDome
const TARGET_URL = 'https://example.com/';

const USER_AGENT = Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36

// Konfiguracja proxy
const proxy = {
  proxyType: "http",
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  // Uruchamiamy przeglądarkę
  const browser = await chromium.launch({ headless: true });
  const context = await browser.newContext({ userAgent: USER_AGENT });
  const page = await context.newPage();

  // Przechodzimy na stronę
  await page.goto(TARGET_URL, { waitUntil: 'networkidle' });

  // Szukamy już ustawionego ciasteczka datadome (jeśli istnieje)
  const existingDd = (await context.cookies()).find(c => /datadome|dd_/i.test(c.name));

  // Szukamy iframe DataDome -> URL CAPTCHA
  const captchaUrl = await page.evaluate(() =>
    Array.from(document.querySelectorAll('iframe[src]'))
      .find(i => /captcha-delivery\.com\/captcha/i.test(i.src))
      ?.src || null
  );

  console.log(`=== Wyciągnięte parametry DataDome ===`);
  console.log(`captchaUrl:`, captchaUrl || 'nie znaleziono');
  console.log(`aktualne ciasteczko datadome::`, existingDd ? ${existingDd.name}=${existingDd.value}` : 'brak');

  const cm = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Wysyłamy zadanie do CapMonster
  console.log(`Wysyłamy zadanie DataDome do CapMonster......`);

  // Wysyłamy zadanie do rozwiązania DataDome
  const solve = await cm.Solve(new DataDomeRequest({
    _class: "DataDome",
    websiteURL: TARGET_URL,
    userAgent: USER_AGENT,
    proxy,
    metadata: {
      captchaUrl: captchaUrl || undefined,
      datadomeCookie: existingDd
        ? `${existingDd.name}=${existingDd.value}`
        : undefined
    }
  }));

  const sol = solve?.solution;

  // Pobieramy domenę i potrzebne ciasteczka z rozwiązania
  const host = new URL(TARGET_URL).hostname;
  const domainKey =
    Object.keys(sol.domains).find(d => d.includes(host))
    || Object.keys(sol.domains)[0];

  const cookiesArr = sol.domains[domainKey]?.cookies || [];

  console.log(`\n=== Ciasteczka z CapMonster ===`);
  cookiesArr.forEach(c => console.log(`${c.name}=${c.value}`));

  const ddSolved =
    cookiesArr.find(c => c.name?.toLowerCase() === 'datadome')
    || cookiesArr.find(c => /datadome/i.test(c.name));

  // Ustawiamy ciasteczko datadome w przeglądarce
  await context.addCookies([{
    name: 'datadome',
    value: ddSolved.value,
    domain: '.' + host,
    path: '/',
    httpOnly: ddSolved.httpOnly ?? true,
    secure: ddSolved.secure ?? true,
    sameSite: ddSolved.sameSite ?? 'Lax'
  }]);

  console.log(`Ciasteczko datadome ustawione:`, ddSolved.value);

  // Ponownie otwieramy stronę po wstawieniu ciasteczka
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });

  console.log(`Status po ustawieniu ciasteczka:: ${resp2?.status()}`);

  await browser.close();
}

main();

Istnieje również możliwość przetestowania rozpoznawania CAPTCHA przy pomocy rozszerzenia przeglądarkowego CapMonster Cloud, które pozwala szybko sprawdzać działanie CAPTCHA bez pisania kodu — dostępne do instalacji w Chrome i Firefox.

Jak podłączyć DataDome CAPTCHA do swojej strony

Aby pewnie poruszać się w działaniu CAPTCHA na Twojej stronie, rozumieć logikę jej weryfikacji, ponownie podłączyć lub skonfigurować, zalecamy zapoznanie się z tym działem. Opisuje proces integracji ochrony — pomoże szybko zrozumieć wszystkie szczegóły.

1. Zaloguj się do swojego konta lub zarejestruj się w DataDome i uzyskaj klucze (client-side i server-side).

Ważne: do rejestracji należy użyć firmowego maila służbowego.

Po rejestracji trafisz do panelu administracyjnego.

2. Podłącz stronę (domenę) w panelu DataDome.

Dodaj swoją domenę do systemu i wybierz parametry ochrony:

Ochrona sieci Web (HTTP traffic protection)
Bot detection & mitigation
Frequency & behavior analysis
Strony challenge (strona weryfikacji DataDome)
JS tag configuration

3. Zainstaluj integrację po stronie serwera.

Użyj Protection API lub wybierz gotowy moduł dla swojego stacka (Node.js / Express, Nginx, Cloudflare, Java (Tomcat/Jetty/Vert.x), Go itp.).

Zainstaluj oficjalne SDK / middleware DataDome, skonfiguruj server key w ustawieniach.

Przykład integracji DataDome w Node.js:

DataDome chroni serwer przed botami i podejrzanymi żądaniami, automatycznie pokazując challenge (CAPTCHA) w razie potrzeby. Moduł można używać z Express lub wbudowanym serwerem HTTP Node.js.

Instalacja

Dla Express:

npm install @datadome/module-express

Dla modułu HTTP Node.js:

npm install @datadome/module-http

Obsługiwane wersje Node.js: 18+. Wymagany server-side key z panelu DataDome.

Integracja z Express


const { DatadomeExpress } = require('@datadome/module-express');
const express = require('express');
const app = express();

// Inicjalizacja klienta DataDome
const datadomeClient = new DatadomeExpress('YOUR_SERVER_KEY');

// Podłączenie middleware
app.use(datadomeClient.middleware());

// Twoje trasy
app.get('/', (req, res) => {
  res.send('Hello World');
});

// Uruchomienie serwera
app.listen(3000, () => {
  console.log('Server running on port 3000');
})

Integracja z serwerem HTTP Node.js


const { DatadomeHttp } = require('@datadome/module-http');
const http = require('http');

const datadomeClient = new DatadomeHttp('YOUR_SERVER_KEY');

const hostname = '127.0.0.1';
const port = 3000;

const server = http.createServer(async (req, res) => {
  const { result, error } = await datadomeClient.handleRequest(req, res);

  if (result === 'ALLOW') {
    res.statusCode = 200;
    res.setHeader('Content-Type', 'text/plain');
    res.end('Hello World\n');
  } else {
    console.log('Request challenged');
    if (error) console.error(error);
  }
});

server.listen(port, hostname, () => {
  console.log(`Server running at http://${hostname}:${port}/`);
});

Ustawienia modułu

Możesz przekazać konfigurację przy tworzeniu klienta:


const datadomeClient = new DatadomeExpress('YOUR_SERVER_KEY', {
  timeout: 150, // timeout w ms, po którym żądanie jest przepuszczane
  urlPatternInclusion: null, // które URL-e sprawdzać
  urlPatternExclusion: /\.(avi|flv|mka|mkv|mov|mp4|mpeg|mpg|mp3|flac|ogg|ogm|opus|wav|webm|webp|bmp|gif|ico|jpeg|jpg|png|svg|svgz|swf|eot|otf|ttf|woff|woff2|css|less|js|map|json|avif|xml|gz|zip)$/i,
  endpointHost: 'api.datadome.co',
});

Rozszerzone możliwości:

Logowanie nagłówków DataDome (enrichedHeaders)
CSP nonce: app.use(datadomeClient.middleware({ nonce: 'VALUE' }))
Nadpisanie metadanych żądania przez handlers

Więcej szczegółów o integracji serwerowej w oficjalnej dokumentacji.

4. Podłącz część kliencką.

Wstaw JS Tag w <head> swojej strony:


<head>
  <script>
    window.ddjskey = 'YOUR_DATADOME_JS_KEY';
    window.ddoptions = {
      // Dodaj tu swoje ustawienia (opcjonalnie)
    };
  </script>
  <script src="https://js.datadome.co/tags.js" async></script>
  <!-- Pozostałe elementy head -->
</head>

YOUR_DATADOME_JS_KEY → Zamień na swój Client-Side Key.

Skrypt najlepiej ładować na początku <head>, aby DataDome mógł przechwytywać żądania i prawidłowo śledzić zachowanie użytkowników.

Jeśli strona używa CSP, dodaj następujące dyrektywy:

Dla inline script


<script nonce="DYNAMIC_NONCE">
  window.ddjskey = 'YOUR_DATADOME_JS_KEY';
  window.ddoptions = {};
</script>

DYNAMIC_NONCE generowany jest dla każdego żądania.

Dla ładowania zewnętrznych skryptów


script-src js.datadome.co ct.captcha-delivery.com 'nonce-DYNAMIC_NONCE';
connect-src api-js.datadome.co;  /* do wysyłania danych JS Tag */
frame-src *.captcha-delivery.com; /* dla stron challenge */
worker-src blob:;                /* dla web workers */

Więcej szczegółów o integracji części klienckiej w oficjalnej dokumentacji DataDome CAPTCHA.

Sprawdzenie wyniku

DataDome tworzy ciasteczko datadome= po pomyślnym przejściu weryfikacji. To ciasteczko jest automatycznie wysyłane przez użytkownika — a serwer przepuszcza żądanie. Jeśli ciasteczka nie ma lub jest nieważne, DataDome ponownie wyświetli challenge.

Możliwe błędy i debugowanie

Nieprawidłowy klucz lub domena

DataDome nie chroni strony poprawnie; challenge nie pojawia się. Sprawdź, czy używasz prawidłowego Server-Side Key i czy domena jest dodana w panelu DataDome.

Limit czasu przetwarzania żądania

Serwer nie otrzymał odpowiedzi z API DataDome. Zwiększ wartość timeout w ustawieniach modułu.

Pusty token lub nieprawidłowy parametr

Błąd przy przesyłaniu wyniku weryfikacji do serwera. Upewnij się, że tag JS klienta jest poprawnie zainstalowany i zwraca ddtoken.

Challenge niezaliczony

Żądanie oznaczone jako podejrzane lub token wygasł. Włącz logowanie poprzez parametr logger modułu i śledź zdarzenia blocked i valid dla diagnostyki.

Sprawdzenie odporności ochrony

Spróbuj wykonać zapytanie do chronionego zasobu bez przejścia przez JS Tag lub bez wysłania tokenu. Serwer powinien je zablokować (lub zwrócić challenge).

Użyj narzędzi takich jak k6 lub JMeter, aby zasymulować ponad 100 żądań na sekundę. Challenge powinien poprawnie się wyświetlać, a system walidacji zachować stabilność.

Sprawdź zachowanie serwera przy ponownym wysłaniu już użytego tokenu. Serwer powinien odrzucić żądanie, zwracając status 403 lub challenge.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

Przechowuj <b>Server-Side Key</b> tylko na serwerze; nie przekazuj go do części klienta.

Przechowuj Server-Side Key tylko na serwerze; nie przekazuj go do części klienta.

Włącz logowanie zdarzeń przez <b>logger</b> lub nasłuchiwacze <b>blocked/valid</b>, aby śledzić przyczyny blokad.

Włącz logowanie zdarzeń przez logger lub nasłuchiwacze blocked/valid, aby śledzić przyczyny blokad.

Umieść linki do <b>Polityki prywatności</b> i <b>Regulaminu DataDome</b> na stronach formularzy dla przejrzystości wobec użytkowników.

Umieść linki do Polityki prywatności i Regulaminu DataDome na stronach formularzy dla przejrzystości wobec użytkowników.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku DataDome CAPTCHA wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować DataDome CAPTCHA oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja DataDome CAPTCHA →

Dokumentacja CapMonster Cloud (praca z DataDome CAPTCHA) →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

DataDome CAPTCHA i CapMonster Cloud

DataDome CAPTCHA
i CapMonster Cloud