Расширение для браузеров

Для бизнеса

Цены

Блог

Документация

Русский

Cloudflare Waiting Room
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется Cloudflare Waiting Room, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы Cloudflare Waiting Room, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое Cloudflare Waiting Room

Cloudflare Waiting Room — это виртуальная очередь, которая защищает сайт от перегрузки при резком росте трафика. Если посетителей становится слишком много, “лишние” пользователи временно отправляются на страницу ожидания, где видят информацию о своей очереди и времени входа. Как только появляется свободное место, они автоматически попадают на сайт.

Как решить Waiting Room через CapMonster Cloud

При тестировании механизма Waiting Room важно убедиться, что очередь корректно работает и регулирует доступ к сайту.

Вот как можно это проверить:

Откройте страницу, на которой активирован Waiting Room, и убедитесь, что очередь отображается при превышении лимита пользователей.
Попробуйте зайти на сайт с нескольких устройств или браузеров одновременно, чтобы искусственно создать нагрузку — часть запросов должна быть помещена в очередь.
Проверьте, что пользователи, попавшие в очередь, видят страницу ожидания и затем автоматически допускаются на сайт, когда появляется свободное место.
Убедитесь, что повторное обновление страницы не сбрасывает пользователя из очереди.

Для автоматического тестирования и распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовое решение. Это решение (токен или куки) можно подставить в форму или браузер, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения Cloudflare Waiting Room необходимо указать следующие параметры:

type - TurnstileTask;

websiteURL - адрес страницы, на которой находится проверка;

websiteKey - ключ Cloudflare на целевом сайте;

cloudflareTaskType - wait_room;

htmlPageBase64 - HTML-страница в формате base64, на которой присутствует заголовок <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent браузера. Передавайте только актуальный UA от ОС Windows;

Также для этой задачи необходимо использование ваших прокси:

proxyType :

http - обычный HTTP/HTTPS-прокси;
https - пробуйте этот вариант, если «http» не работает (требуется для некоторых кастомных прокси);
socks4 - прокси типа SOCKS4;
socks5 - прокси типа SOCKS5;

proxyAddress - IP адрес прокси IPv4/IPv6;

proxyPort - порт прокси;

proxyLogin - логин прокси-сервера;

proxyPassword - пароль прокси-сервера.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Подстановка cf_clearance

Полученное решение (cookie cf_clearance) можно установить в браузер или отправить вместе с HTTP-запросом, указав его в заголовке Cookie: cf_clearance=<значение>. Также для автоматизации и тестирования удобно использовать Puppeteer, Selenium или Playwright, которые позволяют эмулировать действия пользователя, подставлять куки и отправлять формы.

Ниже приведён пример запроса к вашей странице с cookie-значениями, полученными заранее. Это удобно для тестирования: можно передавать как корректные, так и намеренно некорректные значения, чтобы убедиться, что ваша логика обработки доступа и валидации работает правильно.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить Cloudflare Waiting Room к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

Требования и подготовка

План Cloudflare: Waiting Room доступен для Business и Enterprise.
CDN и проксирование: Ваш сайт должен быть подключён к Cloudflare, а DNS-запись для домена или поддомена — proxied.
Cookies: Посетители должны поддерживать cookies, т.к. Cloudflare использует их для отслеживания позиции в очереди.
Решите, какие страницы/пользователи будут в очереди, а какие будут обходить Waiting Room (например, администраторы, VIP, определённые пути).

1. Зарегистрируйтесь в Cloudflare и подключите свой сайт.

2. В разделе Traffic → Waiting Room создайте новую очередь:

3. Нажмите Create Waiting Room.

Укажите:

Hostname / URL, где будет активен Waiting Room.
Название Waiting Room (для внутреннего учета).
Максимальное количество одновременно пропускаемых пользователей (по желанию, если нужна лимитированная нагрузка).

4. Настройте дизайн страницы ожидания:

Можно использовать шаблон Cloudflare или кастомный HTML/CSS.
Добавьте лого, информацию о времени ожидания, инструкции для пользователей.

5. Сохраните и активируйте Waiting Room.

6. Настройка правил (Rules)

Cloudflare позволяет исключать определённый трафик из очереди.

Типичные обходные правила (Bypass Rules):

IP-адреса администратора: всегда пропускать.
Пути/URL: исключить статические файлы (.js, .css, .png) или определённые страницы.
Гео-таргетинг: исключить определённые страны.
Query string: исключить определённые GET-параметры.

Пример правила обхода пути в Dashboard

В Waiting Room → Manage Rules → Create new bypass rule.
Настройте:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Сохраните и разверните.

Все обходные правила позволяют исключить трафик из учёта активных пользователей, чтобы он не влиял на очередь.

Расширенные возможности:

Scheduled Event: включение Waiting Room только в определённое время (например, для распродаж).
Analytics: отслеживание количества пользователей в очереди, времени ожидания и пропускной способности.
Дополнительные hostnames/paths: один Waiting Room может работать на нескольких поддоменах или путях.

Управление через API:

Cloudflare Waiting Room API позволяет:

Создавать, изменять и удалять обходные правила.
Просматривать список правил.
Управлять всеми настройками Waiting Room программно.

Пример создания обходного правила через API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Проверка работы

1) Откройте сайт с разных браузеров/устройств.

2) Проверьте:

Появляется ли Waiting Room при превышении лимита.
Сохраняется ли позиция в очереди при обновлении страницы.
Работают ли обходные правила (например, админский IP проходит без ожидания).

Возможные ошибки и отладка

Неверный домен или неправильная настройка очереди

Cтраница waiting room не отображается. Проверьте, что правило очереди привязано к правильному URI, пути или хосту.

Таймаут загрузки страницы или токена очереди

Клиент не дождался ответа сервера. Увеличьте таймауты в тестах и мониторинге, чтобы корректно обрабатывать задержки.

Повторная проверка или просроченный токен очереди

Если пользователь использует уже истёкший токен или невалидные cookie, система снова покажет страницу ожидания.

Конфликт с другими проверками доступа

Одновременное использование waiting room и других правил авторизации/бот-защиты может привести к циклическим проверкам. Следуйте рекомендациям по последовательности проверок и логике пропуска пользователей.

Проверка устойчивости защиты

После интеграции важно убедиться, что система действительно защищает сайт от автоматических действий.

Попробуйте запросить страницу без специальных куки — пользователь должен попасть в waiting room.

Тестируйте повторный заход с уже установленными куки — пользователь должен обходить очередь и попадать на основной контент.

Проведите нагрузочное тестирование (например, с k6 или JMeter) при высокой скорости запросов — страница waiting room должна корректно отображаться, а сервер очереди оставаться стабильным.

Проверьте реакцию сервера при просроченных или некорректных cookie/токенах. Ожидаемый результат — пользователь снова попадает на страницу ожидания.

Рекомендации по безопасности и оптимизации

Настройте правила очереди и TTL токенов в соответствии с уровнем нагрузки и рисками

Настройте правила очереди и TTL токенов в соответствии с уровнем нагрузки и рисками

Храните все секреты (например, ключи подписи токена) только на сервере

Храните все секреты (например, ключи подписи токена) только на сервере

Логируйте события очереди и статус прохождения, чтобы понимать причины попадания пользователей в waiting room и выявлять ложные срабатывания.

Логируйте события очереди и статус прохождения, чтобы понимать причины попадания пользователей в waiting room и выявлять ложные срабатывания.

Для прозрачности добавьте ссылки на <b>Политику конфиденциальности</b> и <b>Условия использования сайта на страницах waiting room</b>.

Для прозрачности добавьте ссылки на Политику конфиденциальности и Условия использования сайта на страницах waiting room.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с Cloudflare Waiting Room — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить Cloudflare Waiting Room и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Документация Cloudflare Waiting Room →

Документация CapMonster Cloud (работа с Cloudflare Waiting Room) →

Что такое Cloudflare CAPTCHA и как её решить с помощью CapMonster Cloud →

Как Cloudflare определяет автоматический трафик: защита сайта от ботов →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке.

Cloudflare Waiting Room и CapMonster Cloud

Как решить Waiting Room через CapMonster Cloud

Cloudflare Waiting Room
и CapMonster Cloud