Расширение для браузеров

Для бизнеса

Цены

Блог

Документация

Русский

MTCaptcha
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется MTCaptcha, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы MTCaptcha, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое MTCaptcha

MTCaptcha — это система защиты сайта от автоматизированных действий, использующая интеллектуальную проверку и капчу. Сначала сервис анализирует трафик в фоновом режиме. Если поведение посетителя кажется подозрительным, система автоматически отображает текстовую капчу для дополнительной проверки.

Как решить MTCaptcha через CapMonster Cloud

При тестировании форм с MTCaptcha часто возникает необходимость проверить работу капчи и убедиться, что она корректно интегрирована.

Вы можете вручную протестировать подставленную на ваш сайт капчу.

Откройте страницу с формой и убедитесь, что капча отображается.
Попробуйте отправить форму без её прохождения — сервер должен выдать ошибку.
После успешного решения капчи — форма должна отправиться без ошибок.

Для автоматического распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовый токен. Этот токен можно подставить в форму, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения MTCaptcha необходимо указать следующие параметры:

type - MTCaptchaTask

websiteURL - адрес основной страницы, на которой решается капча.

websiteKey - ключ MTcaptcha, передаётся в запросе в параметрах, как sk.

pageAction - параметр action передаётся в запросе как act и отображается при валидации токена. Указывайте его в запросе, только если значение отличается от стандартного - %24.

isInvisible - указывайте true, если капча невидимая, т.е. имеет скрытое поле для подтверждения. При подозрении на бота вызывается дополнительная проверка.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey": "API_KEY",
  "task": 
  {
    "type": "MTCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websiteKey": "MTPublic-abCDEFJAB",
    "isInvisible": false,
    "pageAction": "login"
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "v1(155506dc,c8c2e356,MTPublic-abCDEFJAB,70f03532a53...5FSDA**)"
  },
  "status": "ready"
}

Подстановка токена на страницу

Полученный токен можно вставить в скрытое поле формы или вызвать JS-функцию на сайте для подтверждения решения. После этого сервер примет форму как корректно заполненную. Для автоматизации и тестирования удобно использовать Puppeteer, Selenium или Playwright, которые позволяют эмулировать действия пользователя, подставлять токены и отправлять формы.

Распознавание MTCaptcha с использованием готовых библиотек

Сервис CapMonster Cloud предоставляет готовые библиотеки для удобной работы на языках Python, JavaScript (Node.js) и C#.

Python

JavaScript

Решение, подстановка токена и отправка формы

Пример на Node.js для полного цикла распознавания капчи на вашей веб-странице. Возможные подходы: использовать HTTP-запросы для получения HTML и параметров капчи, отправить ответ и обработать результат; или с помощью инструментов для автоматизации (например, Playwright) — открыть страницу, дождаться капчи, отправить параметры (для тестирования вы можете отправить как правильные, так и некорректные данные), получить результат через клиент CapMonster Cloud, подставить токен в форму и увидеть результат.


  // npm install playwright @zennolab_com/capmonstercloud-client
import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, MTCaptchaRequest } from '@zennolab_com/capmonstercloud-client';

const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://example.com';

async function main() {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

 
  let websiteKey = null;
  page.on('request', request => {
    const url = request.url();
    if (url.startsWith('https://service.mtcaptcha.com/mtcv1/api/getchallenge.json')) {
      const params = new URL(url).searchParams;
      const sk = params.get('sk');
      if (sk) {
        websiteKey = sk;
        console.log('Extracted websiteKey (sk):', websiteKey);
      }
    }
  });

  
  await page.goto(TARGET_URL, { waitUntil: 'networkidle' });

  if (!websiteKey) {
    console.error('Failed to extract websiteKey (sk) from the page');
    await browser.close();
    return;
  }

  
  const client = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  
  const mtcaptchaRequest = new MTCaptchaRequest({
    websiteURL: TARGET_URL,
    websiteKey: websiteKey,
    isInvisible: false,
    pageAction: 'login'
  });

  // Решение капчи
  const result = await client.Solve(mtcaptchaRequest);

  
  const verifiedToken = typeof result?.solution?.value === 'string'
    ? result.solution.value
    : JSON.stringify(result.solution.token);

  console.log('VerifiedToken:', verifiedToken);

  
  // Вставляем токен и отправляем форму (замените на нужный селектор)
  await page.evaluate((token) => {
    const input = document.querySelector('#mtcaptcha-verifiedtoken-1');
    if (input) input.value = token;
  }, verifiedToken);

  console.log('Token inserted into input');

  
  // await page.click('button[type="submit"]');

  await page.waitForTimeout(5000);

  await browser.close();
}

main().catch(err => {
  console.error('An error occurred:', err);
});

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить MTCaptcha к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

1. Зарегистрируйтесь или войдите в свой аккаунт MTCaptcha.

2. После регистрации добавьте свой сайт. Вы получите два ключа.

Site Key — публичный ключ для фронтенда, чтобы показать виджет.
Private Key — приватный ключ для сервера, чтобы проверять правильность решений капчи. Храните его только на сервере, не передавайте его в клиентскую часть.

Пример:

3. Настройте клиентскую часть MTCaptcha:

Вставьте код в <head> страницы.

Замените <YOUR SITE KEY> на ваш Site Key, полученный в панели MTCaptcha.


  <head>
  <script>
    var mtcaptchaConfig = {
      sitekey: "<YOUR SITE KEY>"
    };
  
    (function() {
      var mt_service = document.createElement('script');
      mt_service.async = true;
      mt_service.src = 'https://service.mtcaptcha.com/mtcv1/client/mtcaptcha.min.js';
      (document.head || document.body).appendChild(mt_service);
  
      var mt_service2 = document.createElement('script');
      mt_service2.async = true;
      mt_service2.src = 'https://service2.mtcaptcha.com/mtcv1/client/mtcaptcha2.min.js';
      (document.head || document.body).appendChild(mt_service2);
    })();
  </script>
</head>

Добавьте контейнер капчи в <body>

Там, где хотите отобразить капчу (например, внутри формы):

<div class="mtcaptcha"></div>

Виджет загрузится автоматически.

Вы можете использовать готовые SDK и плагины для быстрой интеграции:

Server-side SDKs: Java, Node.js, PHP
Client-side SDKs: React, React Native, Vue
CMS-плагины: WordPress, Drupal

Также MTCaptcha предлагает удобную демонстрационную страницу, на которой можно протестировать и настроить работу защиты перед подключением на свой сайт.

4. Работа с серверной частью. Получите Verified-Token на клиенте.

Через скрытое поле формы:

<input type="hidden" name="mtcaptcha-verifiedtoken" />

Или через JS:

mtcaptcha.getVerifiedToken() / mtcaptchaVerifiedCallback(status)

Отправьте токен на сервер вместе с формой или запросом.

Проверьте токен через API (серверная проверка):

GET https://service.mtcaptcha.com/mtcv1/api/checktoken?privatekey=<PRIVATE_KEY>&token=<TOKEN>

privatekey — ваш приватный ключ (только на сервере)
token — токен от клиента

Альтернативный URL для серверов с firewall:

https://service2.mtcaptcha.com/mtcv1/api/checktoken

Обработайте ответ:

success: true → капча пройдена, продолжайте обработку.

Пример


{
  "success": true,
  "tokeninfo": {
    "v": "1.0",
    "code": 201,
    "codeDesc": "valid:captcha-solved",
    "tokID": "ae1e60a1e249c217cb7b05c4dba8dd0d",
    "timestampSec": 1552185983,
    "timestampISO": "2019-03-10T02:46:23Z",
    "hostname": "some.example.com",
    "isDevHost": false,
    "action": "",
    "ip": "10.10.10.10"
  }
}

success: false → ошибка (токен просрочен, повторное использование и т.д.)

Каждый verifiedToken действует несколько минут и может быть проверен только один раз через CheckToken API, что предотвращает повторное использование токена. После получения токена сервер должен успеть его проверить — виджет MTCaptcha гарантирует минимум 50 секунд для валидации.

Простой пример с использованием модуля MTCaptcha на Node.js


const { MTCaptcha } = require('mtcaptcha');

const PRIVATE_KEY = 'YOUR_PRIVATE_KEY';
const tokenFromClient = 'TOKEN';

const mt = new MTCaptcha(PRIVATE_KEY, tokenFromClient);

mt.verify((result) => {
  if (result.success) {
    console.log('Captcha passed!', result.tokeninfo);
  } else {
    console.error('Captcha failed:', result.fail_codes || result.error);
  }
});

Для более детального изучения возможностей MTCaptcha — кастомизации виджета, настройки клиентской и серверной частей, интеграции с фреймворками и других аспектов работы — рекомендуем обратиться к официальной документации.

Возможные ошибки и отладка

Неверный сайт или ключ

Капча не загружается или сервер возвращает invalid-privatekey или privatekey-mismatch-token.Убедитесь, что используете корректную пару sitekey и privatekey.

Токен отсутствует или некорректный

Ошибки missing-input-token, invalid-token, bad-request. Проверьте, что значение токена передаётся на сервер и не изменяется.

Просроченный токен(token-expired)

Токен действует ограниченное время (обычно ~120 секунд), после чего его нужно получить заново.

Повторная проверка токена(token-duplicate-cal)

Токен можно проверить только один раз — это защита от replay-атак.

Истёкший или деактивированный ключ(expired-sitekey-or-account)

Убедитесь, что ключи актуальны и аккаунт активен.

Для диагностики включите логирование запросов и выводите fail_codes, чтобы понять причину ошибки.

Проверка устойчивости защиты

Запрос без токена должен возвращать ошибку (missing-input-token или аналог).

Нагрузочное тестирование (например, k6 или JMeter): При высокой нагрузке интерфейс капчи должен работать корректно, а сервер — стабильно проверять токены.

Проверка повторного или просроченного токена должна возвращать соответствующий fail_code, например token-duplicate-cal или token-expired.

Рекомендации по безопасности и оптимизации

Храните <b>privatekey только на сервере</b> — не передавайте его в клиент.

Храните privatekey только на сервере — не передавайте его в клиент.

Логируйте <b>fail_codes</b> для отслеживания причин ошибок и анализа попыток обхода защиты.

Логируйте fail_codes для отслеживания причин ошибок и анализа попыток обхода защиты.

Разместите на форме ссылки на <b>Политику конфиденциальности</b> и <b>Условия использования</b>, если это требуется политикой вашей платформы.

Разместите на форме ссылки на Политику конфиденциальности и Условия использования, если это требуется политикой вашей платформы.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с MTCaptcha — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить MTCaptcha и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Документация MTCaptcha →

Документация CapMonster Cloud (работа с MTCaptcha) →

SDK и плагины для быстрой интеграции MTCaptcha →

Демо-страница (Code Builder) MTCaptcha →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке

MTCaptcha и CapMonster Cloud

MTCaptcha
и CapMonster Cloud