Extensão para navegadores

Para empresas

Preços

Blog

Documentos

Português

Cloudflare Waiting Room
e CapMonster Cloud

Resolução de captcha, instalação no site e testes.

Você herdou um site com captcha ou outra camada de proteção, mas não tem acesso ao código-fonte? Então é normal querer saber qual solução está instalada, se a configuração está correta e como testar tudo.

Neste artigo, procuramos responder a todas as principais dúvidas. Para começar a resolver o problema, o primeiro passo é identificar qual sistema de proteção está sendo utilizado. Para isso, você pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde há exemplos visuais e sinais principais que ajudam a identificar rapidamente com o que você está lidando.

Se você notar que o seu site utiliza Cloudflare Waiting Room, o passo seguinte é estudar com mais detalhes as suas características e o seu funcionamento. Neste mesmo artigo, você também pode conferir o guia de integração do Cloudflare Waiting Room, para entender por completo como o sistema opera no seu site. Isso permitirá não apenas compreender a proteção atual, mas também planejar adequadamente a sua manutenção.

O que é o Cloudflare Waiting Room

Cloudflare Waiting Room é uma fila virtual que protege o site contra sobrecarga durante picos repentinos de tráfego. Se houver visitantes demais, os usuários “excedentes” são temporariamente enviados para uma página de espera, onde veem informações sobre sua posição na fila e o tempo estimado de entrada. Assim que surge uma vaga, eles entram automaticamente no site.

Como resolver o Waiting Room através do CapMonster Cloud

Ao testar o mecanismo de Waiting Room, é importante garantir que a fila funcione corretamente e regule o acesso ao site.

Veja como você pode verificar isso:

Abra a página onde o Waiting Room está ativado e certifique-se de que a fila é exibida ao exceder o limite de usuários.
Tente acessar o site de vários dispositivos ou navegadores simultaneamente para criar carga artificialmente — parte das requisições deve ser colocada na fila.
Verifique se os usuários que entraram na fila veem a página de espera e, em seguida, são admitidos automaticamente no site quando surge uma vaga.
Certifique-se de que atualizar a página não remova o usuário da fila.

Para testes automatizados e reconhecimento de captcha, você pode usar serviços especializados, por exemplo, o CapMonster Cloud — uma ferramenta que recebe os parâmetros do captcha, processa-os em seus servidores e retorna uma solução pronta. Esta solução (token ou cookie) pode ser inserida em um formulário ou navegador para passar na verificação sem a participação do usuário.

Trabalhar com o CapMonster Cloud via API normalmente envolve as etapas abaixo:

Criação da tarefa

Nesta etapa, você envia sua chave de API, o tipo de captcha e seus parâmetros. O serviço retorna um taskId único, pelo qual mais tarde é possível obter o resultado.

Envio da requisição API

Na solicitação para resolver o Cloudflare Waiting Room, é necessário indicar os seguintes parâmetros:

type - TurnstileTask;

websiteURL - endereço da página onde a verificação está localizada;

websiteKey - chave da Cloudflare no site de destino;

cloudflareTaskType - wait_room;

htmlPageBase64 - Página HTML no formato base64, contendo o título <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent do navegador. Envie apenas um UA atual do sistema operacional Windows;

Além disso, para esta tarefa é necessário o uso de seus próprios proxies:

proxyType :

http - proxy HTTP/HTTPS comum;
https - tente esta opção se «http» não funcionar (necessário para alguns proxies personalizados);
socks4 - proxy do tipo SOCKS4;
socks5 - proxy do tipo SOCKS5;

proxyAddress - Endereço IP do proxy IPv4/IPv6;

proxyPort - porta do proxy;

proxyLogin - login do servidor proxy;

proxyPassword - senha do servidor proxy.

Saiba mais sobre os parâmetros e como capturá-los automaticamente antes de enviar a tarefa na documentação do CapMonster Cloud.

Endpoint para envio da tarefa:

https://api.capmonster.cloud/createTask

Exemplo de requisição:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Recebimento do resultado

Após criar a tarefa, consulte periodicamente o status da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de requisição:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Substituição de cf_clearance

A solução obtida (cookie cf_clearance) pode ser definida no navegador ou enviada junto com a requisição HTTP, indicando-a no cabeçalho Cookie: cf_clearance=. Além disso, para automação e testes, é conveniente usar Puppeteer, Selenium ou Playwright, que permitem emular ações do usuário, inserir cookies e enviar formulários.

Abaixo está um exemplo de requisição para sua página com valores de cookie obtidos antecipadamente. Isso é útil para testes: você pode transmitir valores corretos e intencionalmente incorretos para garantir que sua lógica de processamento de acesso e validação funcione corretamente.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Também há uma ótima oportunidade de testar o reconhecimento de captchas usando a extensão de navegador CapMonster Cloud, que permite verificar rapidamente o funcionamento do captcha diretamente na página e acompanhar o processo de resolução em tempo real sem escrever código – disponível para instalação no Chrome e Firefox.

Como conectar o Cloudflare Waiting Room ao seu site

Para se orientar com confiança no funcionamento do captcha no seu site, entender a lógica da sua verificação, reconectá-lo ou reconfigurá-lo, recomendamos estudar esta seção. Nela é descrito o processo de conexão da proteção — isso ajudará você a entender rapidamente todas as nuances.

Requisitos e preparação

Plano Cloudflare: O Waiting Room está disponível para os planos Business e Enterprise.
CDN e Proxying: Seu site deve estar conectado à Cloudflare, e o registro DNS para o domínio ou subdomínio deve estar como proxied.
Cookies: Os visitantes devem suportar cookies, pois a Cloudflare os usa para rastrear a posição na fila.
Decida quais páginas/usuários estarão na fila e quais contornarão o Waiting Room (por exemplo, administradores, VIPs, determinados caminhos).

1. Registre-se na Cloudflare e conecte seu site.

2. Na seção Traffic → Waiting Room, crie uma nova fila:

3. Clique em Create Waiting Room.

Indique:

Hostname / URL, onde o Waiting Room estará ativo.
Nome do Waiting Room (para controle interno).
Número máximo de usuários admitidos simultaneamente (opcional, se for necessária uma carga limitada).

4. Personalize o design da página de espera:

Você pode usar o modelo da Cloudflare ou HTML/CSS personalizado.
Adicione um logotipo, informações sobre o tempo de espera e instruções para os usuários.

5. Salve e ative o Waiting Room.

6. Configuração de regras (Rules)

A Cloudflare permite excluir determinado tráfego da fila.

Regras de contorno típicas (Bypass Rules):

Endereços IP do administrador: permitir sempre.
Caminhos/URL: excluir arquivos estáticos (.js, .css, .png) ou páginas específicas.
Geotargeting: excluir determinados países.
Query string: excluir determinados parâmetros GET.

Exemplo de regra de contorno de caminho no Dashboard

Em Waiting Room → Manage Rules → Create new bypass rule.
Configure:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Salve e implante (Deploy).

Todas as regras de contorno permitem excluir o tráfego da contagem de usuários ativos, para que não afete a fila.

Recursos avançados:

Scheduled Event: ativação do Waiting Room apenas em horários específicos (por exemplo, para liquidações).
Analytics: rastreamento do número de usuários na fila, tempo de espera e taxa de transferência.
Hostnames/paths adicionais: um único Waiting Room pode funcionar em vários subdomínios ou caminhos.

Gerenciamento via API:

A API Cloudflare Waiting Room permite:

Criar, modificar e excluir regras de contorno.
Visualizar a lista de regras.
Gerenciar todas as configurações do Waiting Room programaticamente.

Exemplo de criação de regra de contorno via API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Verificação do funcionamento

1) Abra o site de diferentes navegadores/dispositivos.

2) Verifique:

O Waiting Room aparece ao exceder o limite?
A posição na fila é mantida ao atualizar a página?
As regras de contorno funcionam (por exemplo, o IP do administrador passa sem esperar)?

Possíveis erros e depuração

Domínio inválido ou configuração incorreta da fila

A página de waiting room não é exibida. Verifique se a regra da fila está vinculada ao URI, caminho ou host correto.

Timeout ao carregar a página ou token da fila

O cliente não aguardou a resposta do servidor. Aumente os tempos limite (timeouts) nos testes e no monitoramento para processar atrasos corretamente.

Verificação repetida ou token de fila expirado

Se o usuário usar um token já expirado ou cookies inválidos, o sistema mostrará a página de espera novamente.

Conflito com outras verificações de acesso

O uso simultâneo de Waiting Room e outras regras de autorização/proteção contra bots pode levar a verificações cíclicas. Siga as recomendações sobre a sequência de verificações e a lógica de liberação de usuários.

Verificação da robustez

Depois da integração, confirme que o sistema de fato protege o site contra ações automatizadas.

Tente solicitar a página sem cookies especiais — o usuário deve cair na waiting room.

Teste entrar novamente com cookies já definidos — o usuário deve contornar a fila e acessar o conteúdo principal.

Realize testes de carga (por exemplo, com k6 ou JMeter) com uma alta taxa de requisições — a página de waiting room deve ser exibida corretamente e o servidor de fila deve permanecer estável.

Verifique a reação do servidor a cookies/tokens expirados ou incorretos. O resultado esperado é que o usuário caia novamente na página de espera.

Recomendações de segurança e otimização

Configure as regras da fila e o TTL dos tokens de acordo com o nível de carga e os riscos

Configure as regras da fila e o TTL dos tokens de acordo com o nível de carga e os riscos

Armazene todos os segredos (por exemplo, chaves de assinatura de token) apenas no servidor

Armazene todos os segredos (por exemplo, chaves de assinatura de token) apenas no servidor

Registre os eventos da fila e o status de passagem para entender por que os usuários caem na waiting room e identificar falsos positivos.

Registre os eventos da fila e o status de passagem para entender por que os usuários caem na waiting room e identificar falsos positivos.

Para transparência, adicione links para a <b>Política de Privacidade</b> e os <b>Termos de Uso do site nas páginas de waiting room</b>.

Para transparência, adicione links para a Política de Privacidade e os Termos de Uso do site nas páginas de waiting room.

Conclusão

Se você herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não tem problema! É bem fácil identificar qual tecnologia está sendo usada. Para verificar se tudo está funcionando corretamente, você pode usar o serviço de reconhecimento CapMonster Cloud em um ambiente de testes isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estejam funcionando corretamente.

No caso de Cloudflare Waiting Room, basta identificar o sistema, analisar o comportamento dele e se certificar de que a proteção está funcionando corretamente. No artigo, mostramos como identificar Cloudflare Waiting Room e onde encontrar instruções para a integração ou reconfiguração, para que você consiga manter a proteção com segurança e controlar o funcionamento dela.

Links úteis

Documentação do Cloudflare Waiting Room →

Documentação do CapMonster Cloud (trabalhando com Cloudflare Waiting Room) →

O que é o Cloudflare CAPTCHA e como resolvê-lo com o CapMonster Cloud →

Como a Cloudflare detecta tráfego automatizado: proteção do site contra bots →

A extensão do CapMonster Cloud para navegador está disponível para Chrome e Firefox. Veja o passo a passo completo neste link.

Cloudflare Waiting Room e CapMonster Cloud

Como resolver o Waiting Room através do CapMonster Cloud

Cloudflare Waiting Room
e CapMonster Cloud