Extensão para navegadores

Para empresas

Preços

Blog

Documentação

Português

reCAPTCHA v3
e CapMonster Cloud

Solução de captcha, instalação no site e testes.

Herdou um site com captcha ou outra proteção mas sem acesso ao código-fonte? É natural perguntar qual solução está instalada, se está configurada corretamente e como testá-la.

Neste artigo procurámos responder a todas as questões importantes. Para começar a resolver o problema, o primeiro passo é identificar que sistema de proteção está a ser utilizado. Para isso, pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde encontrará exemplos visuais e sinais principais que ajudam a perceber rapidamente com o que está a lidar.

Se verificar que o seu site utiliza reCAPTCHA v3, o passo seguinte é analisar mais detalhadamente as suas características e o seu funcionamento. Neste mesmo artigo também pode consultar o guia de integração de reCAPTCHA v3, para compreender totalmente como o sistema funciona no seu site. Isto permitirá não só entender a proteção atual, como também planear corretamente a sua manutenção.

O que é o Google reCAPTCHA v3

reCAPTCHA v3 é uma proteção invisível do Google que distingue utilizadores reais de bots sem necessidade da caixa de seleção “Não sou um robô”. Um script oculto é executado na página, analisa o comportamento do visitante e devolve uma pontuação de confiança (score) de 0,0 a 1,0. O programador define um limite abaixo do qual pode ser exigida uma verificação adicional ou até o bloqueio, garantindo proteção sem ações extra por parte do utilizador.

Como resolver o reCAPTCHA v3 através do CapMonster Cloud

Ao testar formulários que incluem reCAPTCHA v3, é comum precisar verificar se a captcha foi integrada e funciona corretamente.

Pode testar manualmente a captcha incorporada no seu site.

Abra a página do formulário e confirme que a captcha é apresentada.
Tente enviar o formulário sem resolvê-la — o servidor deve devolver um erro.
Após uma resolução bem-sucedida, o formulário deve ser enviado sem problemas.

Para resolução automática recorra a ferramentas como o CapMonster Cloud, que recebe os parâmetros da captcha, processa-os nos seus servidores e devolve um token pronto. Basta inseri-lo no formulário para ultrapassar a verificação sem interação do utilizador.

Trabalhar com o CapMonster Cloud através da API normalmente envolve os passos seguintes:

Criação da tarefa

Nesta etapa, envia a sua chave de API, o tipo de captcha e os respetivos parâmetros. O serviço devolve um taskId único, através do qual poderá obter o resultado posteriormente.

Envio do pedido API

No pedido para resolver o reCAPTCHA v3 é necessário indicar os seguintes parâmetros:

type - RecaptchaV3TaskProxyless;

websiteURL - o endereço da página em que o captcha é resolvido;

websiteKey - a chave identificadora (sitekey) indicada na página do seu site com o captcha;

minScore - pode ter um valor de 0.1 a 0.9;

pageAction - o valor do parâmetro action que é enviado pelo widget ReCaptcha no Google. Valor predefinido: verify.

Saiba mais sobre os parâmetros e como recolhê-los automaticamente na documentação do CapMonster Cloud.

Endpoint para envio de tarefas:

https://api.capmonster.cloud/createTask

Exemplo de pedido:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV3TaskProxyless",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta",
    "websiteKey": "6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob",
    "minScore": 0.7,
    "pageAction": "myverify"
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Receção do resultado

Depois de criar a tarefa, acompanhe periodicamente o estado da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de pedido:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "3AHJ_VuvYIBNBW5yyv0zRYJ75VkOKv…hKj9_xGBJKnQimF72rfoq3Iy-DyGHMwLAo6a3"
  }
}

Aplicação do token na página

O token obtido (valor de "gRecaptchaResponse") pode ser inserido num campo oculto do formulário ou usado para chamar uma função JS no site para confirmar a solução. Depois disso, o servidor irá aceitar o formulário como corretamente preenchido. Para automatização e testes é conveniente utilizar Puppeteer, Selenium ou Playwright, que permitem simular ações do utilizador, inserir tokens e enviar formulários.

Reconhecimento do reCAPTCHA v3 com bibliotecas prontas

O serviço CapMonster Cloud fornece bibliotecas prontas para utilização conveniente com as linguagens Python, JavaScript (Node.js) e C#.

Python

JavaScript

Resolução, inserção do token e envio do formulário

Exemplo em Node.js para o ciclo completo de reconhecimento do captcha na sua página Web. Abordagens possíveis: utilizar pedidos HTTP para obter o HTML e os parâmetros do captcha, enviar a resposta e processar o resultado; ou, com ferramentas de automatização (por exemplo, Playwright), abrir a página, aguardar o carregamento do captcha, enviar os parâmetros (para testes pode enviar tanto dados corretos como incorretos), obter o resultado através do cliente do CapMonster Cloud, inserir o token no formulário e ver o resultado.

const { chromium } = require('playwright');
const { 
  CapMonsterCloudClientFactory, 
  ClientOptions, 
  RecaptchaV3ProxylessRequest 
} = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta'; // URL da sua página com o captcha
  const SITE_KEY = '6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob';
  const API_KEY = 'your_capmonster_cloud_api_key'; // Indique a sua chave de API do CapMonster Cloud

  // Criação do cliente CapMonster
  const cmcClient = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

  // Abrir o navegador
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();
  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Configuração da tarefa do reCAPTCHA v3
  const recaptchaRequest = new RecaptchaV3ProxylessRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    minScore: 0.6,
    pageAction: 'myverify', // correspondência com o action na página
  });

  // Resolver o captcha
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution?.gRecaptchaResponse;

  if (!token) {
    console.error('Токен пустой, проверьте sitekey и URL');
    await browser.close();
    return;
  }

  console.log('Token obtido:', token);

  // Inserir o token num campo oculto e simular o clique no botão 
  // Substitua pelos seletores necessários
  await page.evaluate((t) => {
    const input = document.querySelector('#v3_token');
    if (input) input.value = t;

    const form = document.querySelector('#v3_form');
    if (form) form.submit();
  }, token);

  console.log('Token inserido e formulário enviado');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Existe também uma excelente forma de testar o reconhecimento de captchas usando a extensão de navegador do CapMonster Cloud, que permite verificar rapidamente o funcionamento do captcha diretamente na página e acompanhar o processo de resolução em tempo real, sem escrever código – disponível para instalação no Chrome e no Firefox.

Como ligar o reCAPTCHA v3 ao seu site

Para compreender bem como o captcha funciona no seu site, a lógica de validação e como o voltar a ligar ou reconfigurar, recomendamos que estude esta secção. Nela é descrito o processo de ativação da proteção — isto irá ajudá-lo a perceber rapidamente todos os detalhes.

1. Aceda à página do painel de administração do reCAPTCHA.

2. Registe um novo site e escolha o tipo de captcha — reCAPTCHA v3

HowTo Connect image 1

3. Obtenha duas chaves:

Site key — chave pública (utilizada no frontend);
Secret key — chave privada (utilizada no servidor para verificação)

HowTo Connect image 2

Pode abrir as definições, onde, por exemplo, é possível indicar domínios adicionais para utilização do reCAPTCHA ou configurar alertas sobre problemas no site ou aumento de tráfego suspeito.

4. Exemplos de código para o lado do cliente

A forma mais simples de utilizar o reCAPTCHA v3 é ligar a API JavaScript e adicionar atributos a um botão.

Ligação à API:

<script src="https://www.google.com/recaptcha/api.js"></script>

Função de callback para o formulário:

<script>
  function onSubmit(token) {
    document.getElementById("form").submit();
  }
</script>

Botão com atributos do reCAPTCHA:

<button class="g-recaptcha" 
        data-sitekey="reCAPTCHA_sitekey" 
        data-callback='onSubmit' 
        data-action='submit'>Submit</button>

Para controlo total, utilize grecaptcha.execute com o parâmetro render:

Ligação à API com a chave:

<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>

Chamada programática:

<script>
  function onClick(e) {
    e.preventDefault();
    grecaptcha.ready(function() {
      grecaptcha.execute('reCAPTCHA_sitekey', {action: 'submit'}).then(function(token) {
          // Envie o token para o servidor para verificação
      });
    });
  }
</script>

O token deve ser enviado de imediato para o servidor para verificação.

Notas importantes:

Validade do token: o token recebido do reCAPTCHA v3 é válido durante 2 minutos. Certifique-se de que o envia para o servidor dentro desse período.
Verificação no servidor: após receber o token no servidor, envie um pedido POST para https://www.google.com/recaptcha/api/siteverify com os parâmetros:
– secret: a sua chave secreta
– response: o token recebido do cliente
– remoteip (opcional): endereço IP do utilizador
O servidor da Google irá devolver uma resposta JSON com informações sobre o resultado da verificação.

Pode encontrar informações mais detalhadas na documentação oficial do captcha.

5. Agora, do lado do servidor, efetue a verificação da resposta

Exemplo em PHP

<?php
// A sua Secret Key do reCAPTCHA v3
$secret = 'YOUR_SECRET_KEY';

// Obter o token do formulário
$token = $_POST['recaptcha-token'] ?? '';

// Enviar o pedido para a Google para verificar o token
$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret={$secret}&response={$token}"
);

$result = json_decode($response, true);

// Verificar o sucesso e a pontuação de confiança
if ($result['success'] && $result['score'] >= 0.5 && $result['action'] === 'submit') {
    echo "Verificação aprovada";
} else {
    http_response_code(403);
    echo "Verificação reprovada";
}
?>

Notas:

Certifique-se de que, no cliente, o token é enviado num campo oculto do formulário com o nome recaptcha-token:

<input type="hidden" name="recaptcha-token" id="recaptcha-token">

O limite de score pode ser ajustado consoante o nível de rigor desejado (por exemplo, 0,3–0,7).
A verificação de action === 'submit' aumenta a segurança, garantindo que o token foi emitido para a ação correta na página.

Possíveis erros e depuração

Site ou chave incorretos

O captcha não é carregado ou devolve invalid-input-secret.

Tempo limite de resolução

O servidor não recebeu a resposta a tempo, aumente o tempo de espera.

Token vazio

Erro ao passar o resultado para a página.

Resposta success=false

O token expirou, foi reutilizado ou foi adulterado. Para diagnóstico, ative o registo (log) dos pedidos e verifique o campo error-codes na resposta da Google.

Score baixo (por exemplo, <0.5)

Pode levar à recusa mesmo com success=true, uma vez que a Google avalia a confiança no utilizador com base no score.

Verifique o action

Para garantir que o token foi emitido para a ação específica na página

Verificações de robustez

Depois da integração, certifique-se de que o sistema protege efetivamente o site contra ações automatizadas.

Tente efetuar um pedido sem resolver o captcha — o servidor deverá devolver success: false.

Realize testes de carga (por exemplo, com k6 ou JMeter) a uma taxa superior a 100 pedidos por segundo — o captcha deve ser exibido corretamente e o sistema de validação deve manter-se estável.

Verifique a reação do servidor perante um token expirado, reutilizado ou falsificado — a resposta esperada é: 403 Forbidden ou recusa com base no limite de confiança (score abaixo do valor mínimo).

Recomendações de segurança e otimização

Armazene a <b>Secret Key</b> apenas no servidor, não a envie para o lado do cliente.

Armazene a Secret Key apenas no servidor, não a envie para o lado do cliente.

Registe os códigos de erro (<b>error-codes</b>) e o valor de <b>score</b> para compreender os motivos das rejeições.

Registe os códigos de erro (error-codes) e o valor de score para compreender os motivos das rejeições.

<b>Verifique o campo action</b> na resposta da Google para garantir que o token foi emitido para a ação correta na página.

Verifique o campo action na resposta da Google para garantir que o token foi emitido para a ação correta na página.

Adicione no final do formulário ligações para a <b>Política de Privacidade</b> e para os <b>Termos de Utilização da Google</b>, conforme exigido pela licença.

Adicione no final do formulário ligações para a Política de Privacidade e para os Termos de Utilização da Google, conforme exigido pela licença.

Conclusão

Se herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não há problema! É bastante fácil identificar qual a tecnologia que está a ser utilizada. Para verificar se tudo está a funcionar corretamente, pode usar o serviço de reconhecimento CapMonster Cloud num ambiente de teste isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estão a funcionar corretamente.

No caso de reCAPTCHA v3, basta identificar o sistema, analisar o seu comportamento e confirmar que a proteção está a funcionar corretamente. No artigo, mostramos como identificar reCAPTCHA v3 e onde encontrar instruções para a sua integração ou reconfiguração, para que possa manter a proteção com confiança e controlar o seu funcionamento.

Links úteis

Documentação do reCAPTCHA v3 →

Documentação do CapMonster Cloud (trabalho com reCAPTCHA v3) →

Como resolver o ReCaptcha v3 em Python usando Selenium & CapMonster Cloud →

Como resolver o ReCaptcha v3 em JavaScript usando Selenium & CapMonster Cloud →

Como resolver o ReCaptcha v3 em C# usando Selenium & CapMonster Cloud →

A extensão de navegador do CapMonster Cloud está disponível para Chrome e Firefox. Instruções completas encontram-se aqui.

reCAPTCHA v3 e CapMonster Cloud

reCAPTCHA v3
e CapMonster Cloud