Расширение для браузеров

Для бизнеса

Цены

Блог

Документация

Русский

Cloudflare Challenge
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется Cloudflare Challenge, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы Cloudflare Challenge, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое Cloudflare Challenge

Cloudflare Challenge (или Interstitial Challenge Pages) — это система проверки от компании Cloudflare, предназначенная для защиты сайтов от ботов, спама и вредоносного трафика. Когда Cloudflare подозревает, что запрос идёт не от реального посетителя сайта (например, из-за подозрительного IP или отсутствия JavaScript), он показывает Challenge — то есть «вызов», который нужно пройти, чтобы подтвердить, что вы человек. Этот тип проверки отличается от Turnstile тем, что при переходе на сайт пользователь сначала видит промежуточную страницу с сообщением “Just a moment…” и текстом “Verifying you are human. This may take a few seconds”.

Как решить Cloudflare Challenge через CapMonster Cloud

При тестировании защиты с Cloudflare Challenge важно убедиться, что проверка работает корректно и правильно отсекает подозрительный трафик.

Вы можете вручную протестировать установленный на вашу страницу challenge:

В режиме инкогнито откройте страницу сайта, где предполагается проверка Challenge и убедитесь, что капча отображается.
Попробуйте подставить в браузер неверные куки cf_clearance (см. информацию более подробно ниже) — сервер должен выдать ошибку.
После успешного решения капчи — должна открыться сама страница сайта уже без проверки.

Для автоматического тестирования и распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовое решение. Это решение (токен или куки) можно подставить в форму или браузер, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения Cloudflare Challenge необходимо указать следующие параметры:

type - TurnstileTask

websiteURL - адрес страницы, на которой решается капча

websiteKey - ключ Turnstile(можно передать любую строку)

cloudflareTaskType - cf_clearance

htmlPageBase64 - закодированная в base64 html страница "Just a moment", которая выдаётся с кодом 403 при обращении к сайту с данной защитой.

userAgent - User-Agent браузера. Передавайте только актуальный UA от ОС Windows.

Также для этой задачи необходимо использование ваших прокси:

proxyType :

http - обычный HTTP/HTTPS-прокси;
https - пробуйте этот вариант, если «http» не работает (требуется для некоторых кастомных прокси);
socks4 - прокси типа SOCKS4;
socks5 - прокси типа SOCKS5.

proxyAddress - IP адрес прокси IPv4/IPv6.

proxyPort - порт прокси.

proxyLogin - логин прокси-сервера.

proxyPassword - пароль прокси-сервера.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "cf_clearance",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Подстановка cf_clearance

Полученное решение (cookie cf_clearance) можно установить в браузер или отправить вместе с HTTP-запросом, указав его в заголовке Cookie: cf_clearance=<значение>. Также для автоматизации и тестирования удобно использовать Puppeteer, Selenium или Playwright, которые позволяют эмулировать действия пользователя, подставлять куки и отправлять формы.

Распознавание Cloudflare Challenge с использованием готовых библиотек

Сервис CapMonster Cloud предоставляет готовые библиотеки для удобной работы на языках Python, JavaScript (Node.js) и C#.

Python

JavaScript

Решение Challenge и подстановка куки

Пример на Node.js для полного цикла распознавания капчи на вашей веб-странице. Возможные подходы: использовать HTTP-запросы для получения HTML и параметров системы защиты, отправить ответ и обработать результат. Или с помощью инструментов для автоматизации (например, Playwright) — открыть страницу, дождаться проверки, отправить параметры через клиент CapMonster Cloud, получить результат, подставить куки в браузер (для тестирования вы можете использовать как правильные, так и некорректные данные) и увидеть результат.


  // npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from 'playwright';
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  TurnstileRequest
} from '@zennolab_com/capmonstercloud-client';

// Настройки -- замените на свои значения
const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://www.example.com';
const SITE_KEY = 'xxxxx'; // можно передать любую строку
const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36';

// Настройки прокси
const proxy = {
  proxyType: 'http',
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Запускаем браузер
  const browser = await chromium.launch({
    headless: false,
    proxy: proxy.proxyAddress ? {
      server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
      username: proxy.proxyLogin,
      password: proxy.proxyPassword
    } : undefined
  });

  // Создаём контекст с нужным User-Agent и размером окна (опционально)
  const context = await browser.newContext({ userAgent: USER_AGENT, viewport: { width: 1280, height: 800 } });

  // Создаём страницу и загружаем целевой URL
  const page = await context.newPage();
  const resp = await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Статус первоначального запроса:', resp?.status());

  // Получаем HTML страницы и конвертируем в Base64 для CapMonster
  const htmlBase64 = Buffer.from(await page.content(), 'utf-8').toString('base64');

  // Создаём задачу Turnstile для получения cf_clearance
  const solveResult = await cmcClient.Solve(new TurnstileRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    cloudflareTaskType: 'cf_clearance',
    htmlPageBase64: htmlBase64,
    userAgent: USER_AGENT,
    proxy: proxy.proxyAddress ? proxy : undefined
  }));

  const cf_clearance = solveResult?.solution?.cf_clearance;
  if (!cf_clearance) {
    console.error('Не удалось получить cf_clearance из CapMonster:', solveResult);
    await browser.close();
    return;
  }
  console.log('Получен cf_clearance:', cf_clearance);

  // Добавляем cf_clearance cookie в контекст браузера
  await context.addCookies([{
    name: 'cf_clearance',
    value: cf_clearance,
    domain: '.' + new URL(TARGET_URL).hostname,
    path: '/',
    httpOnly: true,
    secure: true
  }]);
  console.log('Cookie cf_clearance успешно добавлен в браузер.');

  // Повторно открываем страницу с установленным cf_clearance
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Статус запроса после установки cf_clearance:', resp2?.status());

  await browser.close();
  console.log('Скрипт завершил работу.');
}

main().catch(err => {
  console.error('Произошла ошибка:', err);
  process.exit(1);
});

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить Cloudflare Challenge к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

1. Зарегистрируйтесь или войдите в свой аккаунт и подключите домен к Cloudflare.

2. Включите Challenge через WAF Rule.

Перейдите: Security → Custom Rules → Create rule

Более подробную информацию вы можете получить здесь.

Пример условия (проверять всю страницу login):

http.request.uri.path contains "/login"

3. Выберите действие:

Managed Challenge (рекомендуется) — в этом случае система сама решает, нужно ли показывать пользователю челлендж, и какой именно.

Можно также выбрать Interactive Challenge, Skip, Block или JavaScript Challenge. Подробнее о типах проверки можете узнать в документации и решить, какой тип вам удобнее использовать.

Задайте остальные нужные вам настройки и нажмите Deploy.

После прохождения проверки пользователю будет выдан cookie cf_clearance — он позволит не показывать Challenge повторно, если посетитель заходит на сайт с того же устройства и браузера.

Также, если вам необходимо подключить виджет Turnstile на свой сайт, можете изучить следующую статью. Cloudflare Turnstile позволяет посетителям проходить проверку на бота без использования капчи с картинками или сложных задач, при этом выдавая токен, которые подтверждает, что пользователь является человеком.

Возможные ошибки и отладка

Неверный домен или настройка правила

Челлендж не отображается. Проверьте, что правило WAF привязано к правильному URI, пути или хосту.

Таймаут загрузки страницы или челленджа

Браузер или клиент не дождался ответа Cloudflare. Увеличьте таймауты в тестах и мониторинге.

Повторная проверка или просроченная cf_clearance

Eсли посетитель использует уже истёкший cf_clearance, система снова покажет Challenge.

После Challenge следует другая проверка

Одновременное использование Challenge + кастомных правил может привести к циклическим проверкам. Следуйте рекомендациям Cloudflare по устранению таких ситуаций.

Проверка устойчивости защиты

Попробуйте выполнить запрос на страницу без cf_clearance — должен сработать Challenge.

Тестируйте повторный заход с уже установленным cf_clearance — посетитель сайта должен обойти дополнительные проверки на том же уровне или ниже.

Проведите нагрузочное тестирование (например, с k6 или JMeter) при высокой скорости запросов — Challenge должен корректно отображаться, а система WAF оставаться стабильной.

Проверьте реакцию сервера при просроченных или некорректных cookie. Ожидаемый ответ — должен быть повторный Challenge.

Рекомендации по безопасности и оптимизации

Настройте правила WAF и Managed/JS/Interactive Challenge в соответствии с уровнем риска.

Настройте правила WAF и Managed/JS/Interactive Challenge в соответствии с уровнем риска.

Логируйте события безопасности и статус прохождения Challenge, чтобы понимать причины блокировок и выявлять ложные срабатывания.

Логируйте события безопасности и статус прохождения Challenge, чтобы понимать причины блокировок и выявлять ложные срабатывания.

Для прозрачности и соответствия требованиям добавьте ссылки на <b>Политику конфиденциальности</b> и <b>Условия использования</b> Cloudflare/сайта на страницах с Challenge.

Для прозрачности и соответствия требованиям добавьте ссылки на Политику конфиденциальности и Условия использования Cloudflare/сайта на страницах с Challenge.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с Cloudflare Challenge — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить Cloudflare Challenge и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Документация Cloudflare Challenge →

Документация CapMonster Cloud (работа с Cloudflare Challenge) →

Что такое Cloudflare CAPTCHA и как её решить с помощью CapMonster Cloud →

Как Cloudflare определяет автоматический трафик: защита сайта от ботов →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке.

Cloudflare Challenge и CapMonster Cloud

Cloudflare Challenge
и CapMonster Cloud