Extensão para navegadores

Para empresas

Preços

Blog

Documentos

Português

TenDI (Tencent) CAPTCHA
e CapMonster Cloud

Solução de captcha, instalação no site e testes.

Você herdou um site com captcha ou outra camada de proteção, mas não tem acesso ao código-fonte? Então é normal querer saber qual solução está instalada, se a configuração está correta e como testar tudo.

Neste artigo, procuramos responder a todas as principais dúvidas. Para começar a resolver o problema, o primeiro passo é identificar qual sistema de proteção está sendo utilizado. Para isso, você pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde há exemplos visuais e sinais principais que ajudam a identificar rapidamente com o que você está lidando.

Se você notar que o seu site utiliza TenDI (Tencent), o passo seguinte é estudar com mais detalhes as suas características e o seu funcionamento. Neste mesmo artigo, você também pode conferir o guia de integração do TenDI (Tencent), para entender por completo como o sistema opera no seu site. Isso permitirá não apenas compreender a proteção atual, mas também planejar adequadamente a sua manutenção.

O que é TenDI CAPTCHA

TenDI (Tencent) CAPTCHA é um sistema de proteção em múltiplos níveis contra bots. Analisa o comportamento do usuário e aplica mecanismos especiais para verificar se o visitante do site é humano. Usado para proteger registros, login, campanhas de marketing e prevenir spam e roubo de dados.

Exemplos de TenDI (Tencent)

Non-perception CAPTCHA

A verificação é automática, sem intervenção do usuário. Ideal para cenários em que a conveniência é importante.

Slider CAPTCHA

Verificação rápida e simples deslizando o cursor. Adequado para a maioria dos casos.

Graphic CAPTCHA

O usuário clica sequencialmente nos elementos da imagem. Usado em cenários de alta segurança.

Audio CAPTCHA

Verificação por meio de gravação de áudio. Ótimo para usuários com necessidades especiais.

Smart Verification

O sistema avalia o comportamento do usuário: confiáveis passam imediatamente, suspeitos são verificados adicionalmente.

Multi-dimensional Defense

Vários mecanismos de proteção são usados: criptografia dinâmica, anti-bot e outros.

Como resolver Tencent CAPTCHA através do CapMonster Cloud

Ao testar formulários com Tencent CAPTCHA, muitas vezes é necessário verificar se o captcha funciona corretamente e está integrado adequadamente.

Você pode testar manualmente o captcha em seu site:

Abra a página do formulário e verifique se o captcha é exibido.
Tente enviar o formulário sem completá-lo — o servidor deve retornar um erro.
Após resolver corretamente o captcha, o formulário deve ser enviado sem erros.

Para reconhecimento automático de captcha, você pode usar serviços especializados, como o CapMonster Cloud — uma ferramenta que processa os parâmetros do captcha em seus servidores e retorna um token pronto. Este token pode ser inserido no formulário para passar a verificação sem intervenção do usuário.

Trabalhar com o CapMonster Cloud via API normalmente envolve as etapas abaixo:

Criação da tarefa

Nesta etapa, você envia sua chave API, o tipo de captcha e seus parâmetros. O serviço retorna um taskId único, que depois pode ser usado para obter o resultado.

Envio da requisição API

No pedido para resolver Tencent CAPTCHA, você deve indicar os seguintes parâmetros:

type - CustomTask

class - TenDI

websiteURL - Endereço da página onde o captcha será resolvido.

websiteKey - captchaAppId. Exemplo: "websiteKey": "189123456" — parâmetro único para seu site

captchaUrl (dentro do metadata) - Link para o script do captcha. Normalmente termina em TCaptcha.js ou TCaptcha-global.js;

websiteURL - Endereço da página onde o captcha será resolvido;

userAgent (opcional) - User-Agent do navegador. Envie apenas o UA atual do Windows.

Saiba mais sobre os parâmetros e como capturá-los automaticamente antes de enviar a tarefa na documentação do CapMonster Cloud.

Endpoint para envio da tarefa:

https://api.capmonster.cloud/createTask

Exemplo de requisição:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "TenDI",
    "websiteURL": "https://example.com",
    "websiteKey": "189123456",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
    "metadata": {
      "captchaUrl": "https://global.captcha.example.com/TCaptcha-global.js"
    }
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Recebimento do resultado

Após criar a tarefa, consulte periodicamente o status da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de requisição:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:

{
	"errorId":0,
	"status":"ready",
	"solution": {
	   "data": {
			"randstr": "@EcL",
			"ticket": "tr03lHUhdnuW3neJZu.....7LrIbs*"
		},
		"headers": {
			"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
		}
	}
}

Aplicação do token na página

O token obtido pode ser inserido em um campo oculto do formulário ou passado a uma função JS no site para confirmar a resolução. Após isso, o servidor aceitará o formulário como válido. Para automação e testes, é conveniente usar Puppeteer, Selenium ou Playwright, que permitem simular ações do usuário, inserir tokens e enviar formulários.

Reconhecimento TenDI (Tencent) CAPTCHA usando bibliotecas prontas

O CapMonster Cloud fornece bibliotecas prontas para uso em Python, JavaScript (Node.js) e C#.

Python

JavaScript

Resolução, inserção de token e envio do formulário

Exemplo em Node.js para o ciclo completo de reconhecimento de captcha na sua página. Possíveis abordagens: usar requisições HTTP para obter HTML e parâmetros do sistema de proteção, enviar a resposta e processar o resultado. Ou, como no exemplo abaixo, usar ferramentas de automação (ex.: Playwright) — abrir a página, aguardar a verificação, enviar parâmetros através do cliente CapMonster Cloud, receber o resultado, inserir o token no formulário (para testes pode usar dados corretos ou incorretos) e ver o resultado.


// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, TenDIRequest } from '@zennolab_com/capmonstercloud-client';

// Substitua pelos seus valores
const API_KEY = "YOUR_API_KEY";         
const WEBSITE_URL = "https://example.com";

async function solveTenDIOnPage() {
    const browser = await chromium.launch({ headless: false });
    const context = await browser.newContext();
    const page = await context.newPage();

    // 1. Abrimos a página
    await page.goto(WEBSITE_URL, { waitUntil: 'networkidle' });

    // 2. Esperamos o captcha aparecer (ex.: input ou iframe)
    await page.waitForSelector('#tendi_response, iframe[src*="tendi"], input[name="tendi_response"]', { timeout: 15000 });

    // Se necessário, pode extrair o websiteKey da página
    const WEBSITE_KEY = await page.evaluate(() => {
        // Exemplo: sitekey pode estar em um atributo data ou em uma variável global
        const el = document.querySelector('#tendi_response') || document.querySelector('div[data-sitekey]');
        return el?.getAttribute('data-sitekey') || window.TenDI_siteKey || "183268248";
    });

    console.log("Website key detected:", WEBSITE_KEY);

    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    // 3. Criamos a tarefa TenDI
    const tenDIRequest = new TenDIRequest({
        websiteURL: page.url(),
        websiteKey: WEBSITE_KEY,
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    // 4. Resolvemos o captcha
    const solution = await client.Solve(tenDIRequest);
    console.log("Solution:", solution);

    const { ticket, randstr } = solution.solution.data;

    // 5. Formas de inserir o resultado
    await page.evaluate(({ ticket, randstr }) => {
        // Inserção no input
        const inputSelectors = ['#tendi_response', 'input[name="tendi_response"]', 'input[type="hidden"]'];
        let inserted = false;
        for (const sel of inputSelectors) {
            const input = document.querySelector(sel);
            if (input) {
                input.value = ticket;
                input.dispatchEvent(new Event('input', { bubbles: true }));
                const form = input.closest('form');
                if (form) form.submit();
                inserted = true;
                break;
            }
        }

        // Função callback JS
        if (typeof window.onCaptchaSolved === 'function') {
            window.onCaptchaSolved(ticket, randstr);
            inserted = true;
        }

        // Se não houver input nem callback
        if (!inserted) {
            window._tenDITicket = ticket;
            window._tenDIRandStr = randstr;
            console.log("Ticket and randstr saved to window._tenDITicket and window._tenDIRandStr");
        }
    }, { ticket, randstr });

    await page.waitForTimeout(5000);
    await browser.close();
}

solveTenDIOnPage().catch(console.error);

Também é possível testar o reconhecimento de captchas usando a extensão CapMonster Cloud para navegador, que permite verificar rapidamente o captcha diretamente na página e acompanhar o processo em tempo real sem escrever código — disponível para Chrome e Firefox.

Como conectar TenDI (Tencent) CAPTCHA ao seu site

Para entender como o captcha funciona no seu site, compreender a lógica da verificação e reconectar ou reconfigurar, recomendamos estudar esta seção. Ela descreve o processo de integração da proteção e ajuda a entender rapidamente todos os detalhes.

1. Entre na sua conta ou crie uma nova em Captcha Console.
2. Abra a seção Verification Management.
3. Crie um novo captcha (se ainda não existir).

Você receberá dois parâmetros: CaptchaAppId e AppSecretKey. Eles serão usados no frontend e no servidor.

Exemplo de integração frontend

Ao clicar, o captcha aparece e, após resolução, o resultado é exibido no console.


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8" />
    <title>Captcha Example</title>

    // Carregamento obrigatório do JS do captcha
    <script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>
</head>

<body>
    <div id="cap_iframe"></div>
    <button id="CaptchaId">Verification</button>

    <script>
        // Processamento do resultado
        function callback(res) {
            console.log("callback:", res);

            if (res.ret === 0) {
                // Verificação bem-sucedida
                const text = `[randstr] ${res.randstr} | [ticket] ${res.ticket}`;

                const input = document.createElement("input");
                input.value = text;
                document.body.appendChild(input);
                input.select();
                document.execCommand("Copy");
                document.body.removeChild(input);

                alert("Ticket e randstr copiados para a área de transferência.");
            }
        }

        // Tratamento de erros ao carregar o script do captcha
        function loadErrorCallback() {
            const appid = "CaptchaAppId";
            const ticket = `trerror_1001_${appid}_1769260381`;

            callback({
                ret: 0,
                randstr: "@" + Math.random().toString(36).slice(2),
                ticket,
                errorCode: 1001,
                errorMessage: "jsload_error",
            });
        }

        window.onload = function () {
            document.getElementById("CaptchaId").onclick = function () {
                try {
                    const captcha = new TencentCaptcha(
                        document.getElementById("cap_iframe"),
                        "Your CaptchaAppId",
                        callback,
                        {}
                    );

                    captcha.show();
                } catch (e) {
                    loadErrorCallback();
                }
            };
        };
    </script>
</body>
</html>

Como funciona a integração

Passo 1: Carregar o JS do captcha

O script deve ser carregado dinamicamente:

<script src="https://ca.turing.captcha.qcloud.com/TJNCaptcha-global.js"></script>

Carregamentos não padrão ou cache podem fazer o captcha funcionar incorretamente.

Passo 2: Criar o objeto TencentCaptcha

Após carregar o JS, aparece uma classe global:

<script src="new TencentCaptcha(domElement, CaptchaAppId, callback, options);"></script>

Parâmetros:

domElement - Container onde o checkbox/iframe será inserido

CaptchaAppId - Seu ID

callback - O que fazer após a verificação

options - Configurações visuais (opcional)

Passo 3: Chamar o método .show()

captcha.show();

Mostra o captcha. Pode ser chamado várias vezes.

Passo 4: Processar o resultado

Callback recebe um objeto:


{
  ret: 0,              // 0 -- sucesso, 2 -- usuário fechou a janela
  ticket: "...",       // necessário pelo servidor
  randstr: "...",      // também necessário pelo servidor
  errorCode: 1001,     // se o captcha não carregou
  errorMessage: "..."  // mensagem de erro
}

No servidor, sempre execute a verificação do ticket.

"Modo de emergência"

Se o captcha não carregar (ex.: CDN indisponível), você pode gerar automaticamente um 'ticket de emergência' para não interromper o processo de negócio.

Cenário:

Tentativa de criar captcha → erro.
Chamamos loadErrorCallback().
Geramos ticket do tipo:
```
trerror_<errorcode>_<appid>_<timestamp>
```
Continuamos o processamento normalmente, mas o servidor reconhece como ticket de emergência e decide o que fazer.

Criptografia do AppId (opcional)

Para proteção máxima, você pode enviar para o captcha uma versão criptografada do AppId em vez da versão aberta:

aidEncrypted = Base64(IV + AES256(AppId & timestamp & ttl))

Necessário:

Chave de 32 bytes (AppSecretKey → completada para 32 bytes)
AES-256 CBC + PKCS7Padding
IV de 16 bytes
timestamp e validade em segundos

Exemplo de criptografia server-side (Python)


from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
import base64

def encrypt(plaintext, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    ciphertext = cipher.encrypt(pad(plaintext.encode(), AES.block_size))
    return base64.b64encode(iv + ciphertext).decode("utf-8")

Validação no servidor

Passo 1. Configurar acesso à API

No painel de gestão de chaves (CAM / API Key Management), obtenha SecretId e SecretKey para a API. Necessário para requisições assinadas.

Passo 2. Chamar API DescribeCaptchaResult

Após o cliente devolver ticket e randstr, o servidor envia a requisição:

Action: DescribeCaptchaResult
Version: 2019-07-22 (ou atual)

Parâmetros:

CaptchaType - 9 (valor fixo)

Ticket - string — ticket retornado do cliente

Randstr - string — randstr retornado do cliente

CaptchaAppId - seu AppId

AppSecretKey - sua chave secreta

UserIp - IP do usuário (recomendado)

Passo 3. Processar resposta

A API retorna:

CaptchaCode: integer — resultado da verificação.
0 (ou OK) — captcha aprovada, ticket válido

Se CaptchaCode === OK, o usuário é considerado verificado. Caso contrário — rejeitar.

Exemplo — verificação de ticket em Node.js


import { v20190722 as captcha } from "@tencentcloud/tencentcloud-sdk-nodejs";
const client = new captcha.Client({
  credential: {
    secretId: "YOUR_SECRET_ID",
    secretKey: "YOUR_SECRET_KEY"
  },
  region: "ap-project", // região, se necessário
});

async function verifyCaptcha(ticket, randstr, userIp) {
  const params = {
    CaptchaType: 9,
    Ticket: ticket,
    Randstr: randstr,
    CaptchaAppId: YOUR_APP_ID,
    AppSecretKey: "YOUR_APP_SECRET_KEY",
    UserIp: userIp
  };

  const resp = await client.DescribeCaptchaResult(params);
  const code = resp.Response.CaptchaCode;
  return code === 0;
}

Mais informações sobre como conectar Tencent CAPTCHA ao seu site podem ser encontradas na documentação oficial.

Possíveis erros e depuração

Captcha não carrega

(Erros 1001, 1002 ou mensagem de assinatura inválida) — a causa pode ser parâmetros de requisição incorretos. Verifique se CaptchaAppId, AppSecretKey e todos os parâmetros da requisição estão informados corretamente.

Ticket/randstr inválido ou vazio

Verifique se o cliente envia ambos os parâmetros corretamente.

Tempo de resolução expirado

Aumente o tempo de espera no servidor.

Verificação da robustez

Após a integração, é importante garantir que a proteção funciona corretamente.

Tente enviar uma requisição sem ticket e randstr — a verificação no servidor deve retornar um erro e rejeitar a requisição.

Realize testes de carga (ex.: k6 ou JMeter) com 100–200+ requisições por segundo — o captcha deve continuar inicializando corretamente e o backend processando as verificações de forma estável.

Verifique o funcionamento com ticket expirado — o servidor deve retornar erro de verificação e rejeitar a requisição.

Verifique a reutilização do ticket — resposta esperada: verificação rejeitada.

Recomendações de segurança e otimização

Guarde o <b>AppSecretKey</b> apenas no servidor, não envie para o navegador e não inclua no código JS.

Guarde o AppSecretKey apenas no servidor, não envie para o navegador e não inclua no código JS.

Registre respostas completas do Tencent CAPTCHA, incluindo código de erro, hora da requisição e parâmetros de validação — ajuda a diagnosticar problemas mais rapidamente.

Registre respostas completas do Tencent CAPTCHA, incluindo código de erro, hora da requisição e parâmetros de validação — ajuda a diagnosticar problemas mais rapidamente.

Use HTTPS ao enviar todos os parâmetros <b>(ticket, randstr)</b> para evitar falsificações.

Use HTTPS ao enviar todos os parâmetros (ticket, randstr) para evitar falsificações.

Coloque links corretos para a <b>Política de Privacidade</b> e os <b>Termos de Uso da Tencent</b> na página, conforme exigido pela licença.

Coloque links corretos para a Política de Privacidade e os Termos de Uso da Tencent na página, conforme exigido pela licença.

Conclusão

Se você herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não tem problema! É bem fácil identificar qual tecnologia está sendo usada. Para verificar se tudo está funcionando corretamente, você pode usar o serviço de reconhecimento CapMonster Cloud em um ambiente de testes isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estejam funcionando corretamente.

No caso de TenDI (Tencent), basta identificar o sistema, analisar o comportamento dele e se certificar de que a proteção está funcionando corretamente. No artigo, mostramos como identificar TenDI (Tencent) e onde encontrar instruções para a integração ou reconfiguração, para que você consiga manter a proteção com segurança e controlar o funcionamento dela.

Links úteis

Documentação TenDI (Tencent) CAPTCHA →

Documentação CapMonster Cloud (trabalho com Tencent CAPTCHA) →

O que é Tencent Captcha (TenDI) e como resolvê-la? →

A extensão do CapMonster Cloud para navegador está disponível para Chrome e Firefox. Veja o passo a passo completo neste link.

TenDI (Tencent) CAPTCHA e CapMonster Cloud

Como resolver Tencent CAPTCHA através do CapMonster Cloud

TenDI (Tencent) CAPTCHA
e CapMonster Cloud