Расширение для браузеров

Для бизнеса

Цены

Блог

Документация

Русский

reCAPTCHA v2 Enterprise
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется reCAPTCHA v2 Enterprise, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы reCAPTCHA v2 Enterprise, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise — корпоративная версия стандартной защиты Google, предназначенная для предотвращения спама и автоматических атак. Она точнее определяет, человек перед сайтом или бот, и использует API Google Cloud для проверки токена. Внешне почти не отличается от обычной v2 — те же галочки и изображения, но запрос идёт через https://www.google.com/recaptcha/enterprise.js, обеспечивая повышенную безопасность.

Как решить reCAPTCHA v2 Enterprise через CapMonster Cloud

При тестировании форм с reCAPTCHA v2 Enterprise часто возникает необходимость проверить работу капчи и убедиться, что она корректно интегрирована.

Вы можете вручную протестировать подставленную на ваш сайт капчу.

Откройте страницу с формой и убедитесь, что капча отображается.
Попробуйте отправить форму без её прохождения — сервер должен выдать ошибку.
После успешного решения капчи — форма должна отправиться без ошибок.

Для автоматического распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовый токен. Этот токен можно подставить в форму, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения reCAPTCHA v2 Enterprise необходимо указать следующие параметры:

type - RecaptchaV2EnterpriseTask;

websiteURL - адрес страницы, на которой решается капча;

websiteKey - ключ-идентификатор (sitekey), который указан на странице вашего сайта с капчей;

enterprisePayload - передавайте, если в вашей реализации виджета reCAPTCHA Enterprise содержится дополнительное поле s в структуре, которая передаётся в метод grecaptcha.enterprise.render вместе с sitekey;

pageAction - значение параметра action, которое передаётся виджетом ReCaptcha в Google. Значение по умолчанию: verify.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Подстановка токена на страницу

Полученный токен (значение "gRecaptchaResponse") можно вставить в скрытое поле формы или вызвать JS-функцию на сайте для подтверждения решения. После этого сервер примет форму как корректно заполненную. Для автоматизации и тестирования удобно использовать Puppeteer, Selenium или Playwright, которые позволяют эмулировать действия пользователя, вставлять токены и отправлять формы

Вместо получения токена можно использовать метод решения reCAPTCHA с помощью кликов. Более подробную информацию можно найти в документации CapMonster Cloud.

Распознавание reCAPTCHA v2 Enterprise с использованием готовых библиотек

Сервис CapMonster Cloud предоставляет готовые библиотеки для удобной работы на языках Python, JavaScript (Node.js) и C#.

Python

JavaScript

Решение, подстановка токена и отправка формы

Пример на Node.js для полного цикла распознавания капчи на вашей веб-странице. Возможные подходы: использовать HTTP-запросы для получения HTML и параметров капчи, отправить ответ и обработать результат; или с помощью инструментов для автоматизации (например, Playwright) — открыть страницу, дождаться капчи, отправить параметры (для тестирования вы можете отправить как правильные, так и некорректные данные), получить решение через клиент CapMonster Cloud, подставить токен в форму и увидеть результат.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Открываем страницу с капчей
  await page.goto('https://example.com');

  // 3. Создаём клиента CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Настраиваем запрос для решения капчи
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Опциональный enterprise параметр
  });

  // 5. Решаем капчу через CapMonster
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Токен капчи:', token);

  // 6. Вставляем токен в скрытое поле
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Опционально) Сабмитим форму - замените на нужное значение
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить reCAPTCHA v2 Enterprise к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

Так как reCAPTCHA Enterprise работает через инфраструктуру Google Cloud, необходимо предварительно создать проект в его консоли:

1. Перейдите на Google Cloud Console.

2. В верхнем меню выберите существующий проект или нажмите New project.

3. Задайте имя проекта, укажите свою организацию и подтвердите создание.

HowTo Connect image 1

4. Откройте страницу API: reCAPTCHA Enterprise API. Нажмите Enable (Включить).

5. Перейдите в консоль: Создание ключа. Нажмите Create Key (Создать ключ).

HowTo Connect image 2

6. Задайте основные настройки:

Display name: любое название для удобной идентификации (например, MySite Login Page).
Application type: выберите тип — WEB (сайты) или Mobile app (мобильные приложения). После создания изменить нельзя.
Domain list: добавьте домены, на которых будет использоваться ключ.

Далее перейдите в Additional Settings, передвиньте ползунок Will you use challenges? и отметьте Checkbox Challenge.

HowTo Connect image 3

7. Нажмите Создать. После этого вы получите ключ, который нужно будет добавить на ваш сайт для активации защиты.

HowTo Connect image 3

8. Подключите скрипт.

Пример кода, который вы можете использовать в HTML вашего сайта

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Проверка на сервере

Пример на PHP

Токен (g-recaptcha-response) отправляется на backend.
Он действует 2 минуты, поэтому проверяйте его сразу после получения! Для корректной и безопасной работы с API рекомендуется использовать официальные библиотеки Google Cloud:

<?php
require 'vendor/autoload.php';

// Подключение библиотек Google Cloud через Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Проверка токена reCAPTCHA Enterprise и получение оценки риска.
 *
 * @param string $recaptchaKey Ключ reCAPTCHA сайта/приложения
 * @param string $token Токен, полученный с клиента
 * @param string $projectId ID проекта Google Cloud
 * @param string $action Название действия, соответствующее токену
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Создаём событие для оценки
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Токен недействителен: ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Оценка риска: ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'Действие в теге reCAPTCHA не совпадает с ожидаемым';
        }
    } catch (Exception $e) {
        echo 'Ошибка при проверке reCAPTCHA: ' . $e->getMessage();
    }
}

// Вызов функции с переменными
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Возможные ошибки и отладка

Неверный сайт или ключ

Капча не загружается или возвращает invalid-input-secret.

Таймаут решения

Сервер не дождался ответа, увеличьте время ожидания.

Пустой токен

Ошибка при передаче результата на страницу.

Ответ success=false

Токен просрочен, повторно использован или подделан. Для диагностики включите логирование запросов и проверяйте поле error-codes в ответе от Google.

Проверка устойчивости защиты

После интеграции важно убедиться, что система действительно защищает сайт от автоматических действий.

Попробуйте выполнить запрос без решения капчи — сервер должен вернуть success: false.

Проведите нагрузочное тестирование (например, с помощью k6 или JMeter) при скорости свыше 100 запросов в секунду — капча должна корректно отображаться, а система валидации оставаться стабильной.

Проверьте реакцию сервера при просроченном или повторно отправленном токене — ожидаемый ответ должен быть 403 Forbidden.

Рекомендации по безопасности и оптимизации

Храните Secret Key только на сервере, не передавайте его в клиентскую часть.

Кэшируйте результаты проверки капчи (siteverify) на 30–60 секунд — это снизит нагрузку и ускорит отклик.

Логируйте коды ошибок (error-codes), чтобы понимать, почему конкретные проверки не прошли.

Добавьте внизу формы ссылки на Политику конфиденциальности и Условия использования Google, как требует лицензия.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с reCAPTCHA v2 Enterprise — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить reCAPTCHA v2 Enterprise и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Создание проекта и подробная информация о reCAPTCHA v2 Enterprise →Документация CapMonster Cloud (работа с reCAPTCHA v2 Enterprise) →Решение reCAPTCHA Enterprise с использованием CapMonster Cloud: полное руководство →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке

reCAPTCHA v2 Enterprise и CapMonster Cloud

reCAPTCHA v2 Enterprise
и CapMonster Cloud