DataDome CAPTCHA
e CapMonster Cloud

Solução de CAPTCHA, instalação no site e testes.

Herdou um site com captcha ou outra proteção mas sem acesso ao código-fonte? É natural perguntar qual solução está instalada, se está configurada corretamente e como testá-la.

Neste artigo procurámos responder a todas as questões importantes. Para começar a resolver o problema, o primeiro passo é identificar que sistema de proteção está a ser utilizado. Para isso, pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde encontrará exemplos visuais e sinais principais que ajudam a perceber rapidamente com o que está a lidar.

Se verificar que o seu site utiliza DataDome CAPTCHA, o passo seguinte é analisar mais detalhadamente as suas características e o seu funcionamento. Neste mesmo artigo também pode consultar o guia de integração de DataDome CAPTCHA, para compreender totalmente como o sistema funciona no seu site. Isto permitirá não só entender a proteção atual, como também planear corretamente a sua manutenção.

O que é DataDome

DataDome é um sistema de proteção contra bots e ataques automáticos que analisa o comportamento dos visitantes e parâmetros de rede para diferenciar usuários reais de tráfego malicioso e garantir o funcionamento estável do site ou aplicativo.

Exemplos de DataDome CAPTCHA

Análise comportamental

Avaliação das ações do usuário (cliques, rolagem, velocidade de interação).

Verificação JavaScript

Verificação oculta do navegador e seu ambiente.

Verificação de rede

Análise de endereços IP, headers, proxies e redes de bots conhecidas.

Challenge

Exibição do CAPTCHA (geralmente como um slider “Deslize para a direita para completar o puzzle”) se o sistema tiver dúvidas.

Como resolver o CAPTCHA DataDome via CapMonster Cloud

Ao testar a proteção do DataDome, é importante garantir que ela esteja corretamente integrada e responda a tráfego suspeito. Para verificação manual, abra uma página protegida pelo DataDome e verifique se o sistema está ativo.

Tente realizar uma solicitação simulando comportamento suspeito (por exemplo, atualizar a página com muita frequência ou enviar formulário sem dados válidos) — o DataDome deve bloquear o acesso ou exibir uma página de proteção.

Para testes automáticos e resolução de CAPTCHA, você pode usar serviços especializados, como o CapMonster Cloud — ferramenta que processa os parâmetros do CAPTCHA em seus servidores e retorna uma solução pronta. Essa solução (token ou cookie) pode ser usada em um formulário ou navegador para passar pela verificação sem a participação do usuário.

Trabalhar com o CapMonster Cloud através da API normalmente envolve os passos seguintes:

Criação da tarefa

Neste estágio, você fornece sua chave API, tipo de CAPTCHA e seus parâmetros. O serviço retorna um taskId único para posteriormente obter o resultado.

Envio do pedido API

Na solicitação para resolver o DataDome, você deve especificar os seguintes parâmetros:

type - CustomTask

class - DataDome

websiteURL - Endereço da página principal onde o CAPTCHA será resolvido.

captchaUrl (dentro do metadata) - "captchaUrl" - link para o CAPTCHA. Normalmente no formato: "https://geo.captcha-delivery.com/captcha/?initialCid=..."

datadomeCookie (dentro do metadata) - Seus cookies do DataDome. Podem ser obtidos na página via document.cookie (se não forem HttpOnly), no cabeçalho Set-Cookie: "datadome=..." ou diretamente no código HTML da página initialCid.

userAgent - User-Agent do navegador. Use apenas o UA atual do Windows.

Para esta tarefa, também é necessário usar seus proxies:

proxyType :

http - proxy HTTP/HTTPS padrão;
https - use se o 'http' não funcionar (necessário para alguns proxies personalizados);
socks4 - proxy SOCKS4;
socks5 - proxy SOCKS5.

proxyAddress - Endereço IP do proxy IPv4/IPv6.

proxyPort - Porta do proxy.

proxyLogin - Login do proxy.

proxyPassword - Senha do proxy.

Saiba mais sobre os parâmetros e como recolhê-los automaticamente na documentação do CapMonster Cloud.

Endpoint para envio de tarefas:

https://api.capmonster.cloud/createTask

Exemplo de pedido:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "DataDome",
    "websiteURL": "https://example.com",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "metadata": {
      "captchaUrl": "https://geo.captcha-delivery.com/interstitial/?initialCid=AHrlqAAAAAMA9UvsL58YLqIAXNLFPg%3D%3D&hash=C0705ACD75EBF650A07FF8291D3528&cid=7sfa5xUfDrR4bQTp1c2mhtiD7jj9TXExcQypjdNAxKVFyIi1S9tE0~_mqLa2EFpOuzxKcZloPllsNHjNnqzD9HmBA4hEv7SsEyPYEidCBvjZEaDyfRyzefFfolv0lAHM&referer=https%3A%2F%2Fwww.example.com.au%2F&s=6522&b=978936&dm=cm",
      "datadomeCookie": "datadome=VYUWrgJ9ap4zmXq8Mgbp...64emvUPeON45z"
    },
    "proxyType": "http",
    "proxyAddress": "123.45.67.89",
    "proxyPort": 8080,
    "proxyLogin": "proxyUsername",
    "proxyPassword": "proxyPassword"
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Receção do resultado

Depois de criar a tarefa, acompanhe periodicamente o estado da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de pedido:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:


{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "domains": {
      "www.example.com": {
        "cookies": {
          "datadome": "P1w0VnjFcTFslfps0J4FaPpY_QPbPBW4MeYxj4LW~pztIfJiSSuBPr8oQTUHzdrfgv137FbOBd3kCUOOgny7LhIkhm5e1qdtzYM4s2e46U_qfERK4KiCy22MOSIDsDyh"
        },
        "localStorage": null
      }
    },
    "url": null,
    "fingerprint": null,
    "headers": null,
    "data": null
  }
}

Aplicação do token na página

A solução obtida (cookie datadome) pode ser definida no navegador ou enviada junto com a solicitação HTTP no cabeçalho Cookie: datadome=<valor>. Para automação e testes, é conveniente usar Puppeteer, Selenium ou Playwright, que permitem emular ações do usuário, definir cookies e enviar formulários.

Reconhecimento de CAPTCHA DataDome usando bibliotecas prontas

O serviço CapMonster Cloud fornece bibliotecas prontas para fácil uso em Python e JavaScript (Node.js).

Python

JavaScript

Solução DataDome e inserção de cookie

Exemplo em Node.js para o ciclo completo de reconhecimento de CAPTCHA em sua página web. Abordagens possíveis: usar requisições HTTP para obter HTML e parâmetros do sistema de proteção, enviar resposta e processar resultado. Ou usar ferramentas de automação (como Playwright) — abrir a página, aguardar verificação, enviar parâmetros pelo cliente CapMonster Cloud, receber resultado, inserir cookies no navegador (para testes pode usar dados corretos e incorretos) e ver o resultado.


// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, DataDomeRequest } from '@zennolab_com/capmonstercloud-client';

// Insira sua chave API do CapMonster Cloud
const API_KEY = 'YOUR_API_KEY';

// Seu site está protegido pelo DataDome
const TARGET_URL = 'https://example.com/';

const USER_AGENT = Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36

// Configuração de proxy
const proxy = {
  proxyType: "http",
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  // Iniciando navegador
  const browser = await chromium.launch({ headless: true });
  const context = await browser.newContext({ userAgent: USER_AGENT });
  const page = await context.newPage();

  // Acessando site
  await page.goto(TARGET_URL, { waitUntil: 'networkidle' });

  // Procurando cookie datadome existente (se houver)
  const existingDd = (await context.cookies()).find(c => /datadome|dd_/i.test(c.name));

  // Procurando iframe DataDome -> URL do CAPTCHA
  const captchaUrl = await page.evaluate(() =>
    Array.from(document.querySelectorAll('iframe[src]'))
      .find(i => /captcha-delivery\.com\/captcha/i.test(i.src))
      ?.src || null
  );

  console.log(`=== Parâmetros extraídos do DataDome ===`);
  console.log(`captchaUrl:`, captchaUrl || 'não encontrado');
  console.log(`cookie datadome atual::`, existingDd ? ${existingDd.name}=${existingDd.value}` : 'nenhum');

  const cm = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Enviando tarefa para CapMonster
  console.log(`Enviando tarefa DataDome para CapMonster......`);

  // Enviando tarefa para resolução DataDome
  const solve = await cm.Solve(new DataDomeRequest({
    _class: "DataDome",
    websiteURL: TARGET_URL,
    userAgent: USER_AGENT,
    proxy,
    metadata: {
      captchaUrl: captchaUrl || undefined,
      datadomeCookie: existingDd
        ? `${existingDd.name}=${existingDd.value}`
        : undefined
    }
  }));

  const sol = solve?.solution;

  // Obtendo domínio e cookies necessários da solução
  const host = new URL(TARGET_URL).hostname;
  const domainKey =
    Object.keys(sol.domains).find(d => d.includes(host))
    || Object.keys(sol.domains)[0];

  const cookiesArr = sol.domains[domainKey]?.cookies || [];

  console.log(`\n=== Cookies do CapMonster ===`);
  cookiesArr.forEach(c => console.log(`${c.name}=${c.value}`));

  const ddSolved =
    cookiesArr.find(c => c.name?.toLowerCase() === 'datadome')
    || cookiesArr.find(c => /datadome/i.test(c.name));

  // Definindo cookie datadome no navegador
  await context.addCookies([{
    name: 'datadome',
    value: ddSolved.value,
    domain: '.' + host,
    path: '/',
    httpOnly: ddSolved.httpOnly ?? true,
    secure: ddSolved.secure ?? true,
    sameSite: ddSolved.sameSite ?? 'Lax'
  }]);

  console.log(`cookie datadome definido:`, ddSolved.value);

  // Reabrindo site após inserir cookie
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });

  console.log(`Status após definir cookie:: ${resp2?.status()}`);

  await browser.close();
}

main();

Também é possível testar o reconhecimento de CAPTCHA usando a extensão do navegador CapMonster Cloud, que permite verificar rapidamente a funcionalidade do CAPTCHA diretamente na página e acompanhar o processo de resolução em tempo real sem escrever código — disponível para instalação no Chrome e Firefox.

Como conectar DataDome CAPTCHA ao seu site

Para entender com segurança como a CAPTCHA funciona no seu site, compreender a lógica de verificação e reconectar ou reconfigurar, recomendamos estudar esta seção. Ela descreve o processo de integração da proteção — ajudando a entender rapidamente todos os detalhes.

1. Faça login na sua conta ou registre-se no DataDome e obtenha as chaves (client-side e server-side).

Importante: use um e-mail corporativo para registro.

Após o registro, você terá acesso ao painel administrativo.

2. Adicione o site (domínio) no painel DataDome.

Adicione seu domínio no sistema e escolha os parâmetros de proteção:

Proteção Web (proteção de tráfego HTTP)
Bot detection & mitigation
Frequency & behavior analysis
Páginas de challenge (verificação DataDome)
JS tag configuration

3. Instale a integração no lado do servidor.

Use Protection API ou escolha um módulo pronto para sua stack (Node.js / Express, Nginx, Cloudflare, Java (Tomcat/Jetty/Vert.x), Go etc.).

Instale o SDK/middleware oficial DataDome, configure a server-side key.

Exemplo de integração DataDome em Node.js:

DataDome protege o servidor contra bots e solicitações suspeitas, exibindo automaticamente challenge quando necessário. O módulo pode ser usado com Express ou servidor HTTP integrado Node.js.

Instalação

Para Express:

npm install @datadome/module-express

Para módulo HTTP Node.js:

npm install @datadome/module-http

Suporta Node.js 18+. Chave server-side necessária do painel DataDome.

Integração com Express


const { DatadomeExpress } = require('@datadome/module-express');
const express = require('express');
const app = express();

// Inicializando cliente DataDome
const datadomeClient = new DatadomeExpress('YOUR_SERVER_KEY');

// Conectando middleware
app.use(datadomeClient.middleware());

// Suas rotas
app.get('/', (req, res) => {
  res.send('Hello World');
});

// Iniciando servidor
app.listen(3000, () => {
  console.log('Server running on port 3000');
})

Integração com servidor HTTP Node.js


const { DatadomeHttp } = require('@datadome/module-http');
const http = require('http');

const datadomeClient = new DatadomeHttp('YOUR_SERVER_KEY');

const hostname = '127.0.0.1';
const port = 3000;

const server = http.createServer(async (req, res) => {
  const { result, error } = await datadomeClient.handleRequest(req, res);

  if (result === 'ALLOW') {
    res.statusCode = 200;
    res.setHeader('Content-Type', 'text/plain');
    res.end('Hello World\n');
  } else {
    console.log('Request challenged');
    if (error) console.error(error);
  }
});

server.listen(port, hostname, () => {
  console.log(`Server running at http://${hostname}:${port}/`);
});

Configurações do módulo

Você pode passar a configuração ao criar o cliente:


const datadomeClient = new DatadomeExpress('YOUR_SERVER_KEY', {
  timeout: 150, // timeout em ms após o qual a solicitação é permitida
  urlPatternInclusion: null, // quais URLs verificar
  urlPatternExclusion: /\.(avi|flv|mka|mkv|mov|mp4|mpeg|mpg|mp3|flac|ogg|ogm|opus|wav|webm|webp|bmp|gif|ico|jpeg|jpg|png|svg|svgz|swf|eot|otf|ttf|woff|woff2|css|less|js|map|json|avif|xml|gz|zip)$/i,
  endpointHost: 'api.datadome.co',
});

Opções avançadas:

Registro de headers DataDome (enrichedHeaders)
CSP nonce: app.use(datadomeClient.middleware({ nonce: 'VALUE' }))
Sobrescrever metadados da requisição via handlers

Mais detalhes sobre integração do lado do servidor em documentação oficial.

4. Conecte a parte cliente.

Insira a JS Tag no <head> do seu site:


<head>
  <script>
    window.ddjskey = 'YOUR_DATADOME_JS_KEY';
    window.ddoptions = {
      // Adicione suas configurações aqui (opcional)
    };
  </script>
  <script src="https://js.datadome.co/tags.js" async></script>
  <!-- Outros elementos do head -->
</head>

YOUR_DATADOME_JS_KEY → Substitua pela sua Client-Side Key.

O script deve ser carregado no início do <head> para que o DataDome capture solicitações e acompanhe corretamente o comportamento do usuário.

Se o site usa CSP, adicione as seguintes diretivas:

Para script inline


<script nonce="DYNAMIC_NONCE">
  window.ddjskey = 'YOUR_DATADOME_JS_KEY';
  window.ddoptions = {};
</script>

DYNAMIC_NONCE é gerado para cada requisição.

Para carregar scripts externos


script-src js.datadome.co ct.captcha-delivery.com 'nonce-DYNAMIC_NONCE';
connect-src api-js.datadome.co;  /* para enviar dados da JS Tag */
frame-src *.captcha-delivery.com; /* para páginas challenge */
worker-src blob:;                /* para web workers */

Mais detalhes sobre integração cliente em documentação oficial DataDome CAPTCHA.

Verificação de resultado

O DataDome cria o cookie datadome= após uma verificação bem-sucedida. Esse cookie é enviado automaticamente pelo usuário, e o servidor permite a solicitação. Se o cookie estiver ausente ou for inválido, o DataDome exibirá o desafio novamente.

Possíveis erros e depuração

Chave ou domínio inválido

DataDome não protege corretamente o site; challenge não aparece. Verifique se a Server-Side Key correta está sendo usada e se o domínio foi adicionado no painel DataDome.

Timeout de processamento da solicitação

O servidor não recebeu resposta da API DataDome. Aumente o valor do timeout nas configurações do módulo.

Token vazio ou parâmetro inválido

Erro ao enviar o resultado da verificação para o servidor. Certifique-se de que a tag JS do cliente está corretamente instalada e retorna ddtoken.

Challenge não concluído

A solicitação foi marcada como suspeita ou o token expirou. Para diagnóstico, ative logging via parâmetro logger do módulo e monitore os eventos blocked e valid.

Verificações de robustez

Tente fazer uma solicitação ao recurso protegido sem passar pela JS Tag ou sem enviar o token. O servidor deve bloqueá-la (ou retornar um challenge).

Use ferramentas como k6 ou JMeter para simular mais de 100 solicitações por segundo. O challenge deve ser exibido corretamente e o sistema de validação deve permanecer estável.

Verifique o comportamento do servidor ao reenviar um token já utilizado. O servidor deve rejeitar corretamente a solicitação retornando status 403 ou um challenge.

Recomendações de segurança e otimização

Armazene a <b>Server-Side Key</b> apenas no servidor; não a envie para o cliente.

Armazene a Server-Side Key apenas no servidor; não a envie para o cliente.

Ative o registro de eventos via <b>logger</b> ou listeners <b>blocked/valid</b> para monitorar os motivos de bloqueios.

Ative o registro de eventos via logger ou listeners blocked/valid para monitorar os motivos de bloqueios.

Coloque links para a <b>Política de Privacidade</b> e os <b>Termos de Uso DataDome</b> nas páginas de formulário para transparência com os usuários.

Coloque links para a Política de Privacidade e os Termos de Uso DataDome nas páginas de formulário para transparência com os usuários.

Conclusão

Se herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não há problema! É bastante fácil identificar qual a tecnologia que está a ser utilizada. Para verificar se tudo está a funcionar corretamente, pode usar o serviço de reconhecimento CapMonster Cloud num ambiente de teste isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estão a funcionar corretamente.

No caso de DataDome CAPTCHA, basta identificar o sistema, analisar o seu comportamento e confirmar que a proteção está a funcionar corretamente. No artigo, mostramos como identificar DataDome CAPTCHA e onde encontrar instruções para a sua integração ou reconfiguração, para que possa manter a proteção com confiança e controlar o seu funcionamento.

Links úteis

Documentação DataDome CAPTCHA →

Documentação CapMonster Cloud (trabalhando com DataDome CAPTCHA) →

A extensão de navegador do CapMonster Cloud está disponível para Chrome e Firefox. Instruções completas encontram-se aqui.

DataDome CAPTCHA e CapMonster Cloud

Como resolver o CAPTCHA DataDome via CapMonster Cloud

DataDome CAPTCHA
e CapMonster Cloud