Расширение для браузеров

Для бизнеса

Цены

Блог

Документация

Русский

reCAPTCHA v3
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется reCAPTCHA v3, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы reCAPTCHA v3, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое Google reCAPTCHA v3

reCAPTCHA v3 — это невидимая защита от Google, которая отличает реальных пользователей от ботов без проверки “Я не робот”. На странице работает скрытый скрипт, анализирующий поведение посетителя сайта и выдающий оценку доверия (score) от 0.0 до 1.0. Разработчик задаёт порог, ниже которого может требоваться дополнительная проверка или блокировка, обеспечивая защиту без лишних действий со стороны пользователя.

Как решить reCAPTCHA v3 через CapMonster Cloud

При тестировании форм с reCAPTCHA v3 часто возникает необходимость проверить работу капчи и убедиться, что она корректно интегрирована.

Вы можете вручную протестировать подставленную на ваш сайт капчу.

Откройте страницу с формой и убедитесь, что капча отображается.
Попробуйте отправить форму без её прохождения — сервер должен выдать ошибку.
После успешного решения капчи — форма должна отправиться без ошибок.

Для автоматического распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовый токен. Этот токен можно подставить в форму, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения reCAPTCHA v3 необходимо указать следующие параметры:

type - RecaptchaV3TaskProxyless;

websiteURL - адрес страницы, на которой решается капча;

websiteKey - ключ-идентификатор (sitekey), который указан на странице вашего сайта с капчей;

minScore - может иметь значение от 0.1 до 0.9;

pageAction - значение параметра action, которое передаётся виджетом ReCaptcha в Google. Значение по умолчанию: verify.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV3TaskProxyless",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta",
    "websiteKey": "6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob",
    "minScore": 0.7,
    "pageAction": "myverify"
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "3AHJ_VuvYIBNBW5yyv0zRYJ75VkOKv…hKj9_xGBJKnQimF72rfoq3Iy-DyGHMwLAo6a3"
  }
}

Подстановка токена на страницу

Полученный токен (значение "gRecaptchaResponse") можно вставить в скрытое поле формы или вызвать JS-функцию на сайте для подтверждения решения. После этого сервер примет форму как корректно заполненную. Для автоматизации и тестирования удобно использовать Puppeteer, Selenium или Playwright, которые позволяют эмулировать действия пользователя, вставлять токены и отправлять формы

Распознавание reCAPTCHA v3 с использованием готовых библиотек

Сервис CapMonster Cloud предоставляет готовые библиотеки для удобной работы на языках Python, JavaScript (Node.js) и C#.

Python

JavaScript

Решение, подстановка токена и отправка формы

Пример на Node.js для полного цикла распознавания капчи на вашей веб-странице. Возможные подходы: использовать HTTP-запросы для получения HTML и параметров капчи, отправить ответ и обработать результат; или с помощью инструментов для автоматизации (например, Playwright) — открыть страницу, дождаться капчи, отправить параметры (для тестирования вы можете отправить как правильные, так и некорректные данные), получить решение через клиент CapMonster Cloud, подставить токен в форму и увидеть результат.

const { chromium } = require('playwright');
const { 
  CapMonsterCloudClientFactory, 
  ClientOptions, 
  RecaptchaV3ProxylessRequest 
} = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta'; // URL вашей страницы с капчей
  const SITE_KEY = '6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob';
  const API_KEY = 'your_capmonster_cloud_api_key'; // Укажите ваш API-ключ CapMonster Cloud

  // Создаём клиента CapMonster
  const cmcClient = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

  // Открываем браузер
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();
  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Настройка задачи reCAPTCHA v3
  const recaptchaRequest = new RecaptchaV3ProxylessRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    minScore: 0.6,
    pageAction: 'myverify', // соответствие action на странице
  });

  // Решаем капчу
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution?.gRecaptchaResponse;

  if (!token) {
    console.error('Токен пустой, проверьте sitekey и URL');
    await browser.close();
    return;
  }

  console.log('Токен получен:', token);

  // Подставляем токен в скрытое поле и эмулируем клик на кнопку 
  // Замените на нужные селекторы
  await page.evaluate((t) => {
    const input = document.querySelector('#v3_token');
    if (input) input.value = t;

    const form = document.querySelector('#v3_form');
    if (form) form.submit();
  }, token);

  console.log('Токен вставлен и форма отправлена');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить reCAPTCHA v3 к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

1. Перейдите на страницу админ-панели reCAPTCHA.

2. Зарегистрируйте новый сайт и выберите тип капчи — reCAPTCHA v3

HowTo Connect image 1

3. Получите два ключа:

Site key — публичный ключ (используется на фронтенде);
Secret key — приватный ключ (используется на сервере для проверки)

HowTo Connect image 2

Вы можете открыть настройки, где, например, дополнительно можно указать домены для использования reCAPTCHA или настроить оповещения о проблемах на сайте или росте подозрительного трафика.

4. Примеры кода для клиентской части

Самый простой способ использовать reCAPTCHA v3 — подключить JavaScript API и добавить атрибуты к кнопке.

Подключение API:

<script src="https://www.google.com/recaptcha/api.js"></script>

Функция обратного вызова для формы:

<script>
  function onSubmit(token) {
    document.getElementById("form").submit();
  }
</script>

Кнопка с атрибутами reCAPTCHA:

<button class="g-recaptcha" 
        data-sitekey="reCAPTCHA_sitekey" 
        data-callback='onSubmit' 
        data-action='submit'>Submit</button>

Для полного контроля используйте grecaptcha.execute с параметром render:

Подключение API с ключом:

<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>

Программный вызов:

<script>
  function onClick(e) {
    e.preventDefault();
    grecaptcha.ready(function() {
      grecaptcha.execute('reCAPTCHA_sitekey', {action: 'submit'}).then(function(token) {
          // Отправьте токен на сервер для проверки
      });
    });
  }
</script>

Токен следует сразу отправлять на сервер для верификации.

Важные замечания:

Срок действия токена: токен, полученный от reCAPTCHA v3, действителен в течение 2 минут. Убедитесь, что вы отправляете его на сервер в течение этого времени.
Проверка на сервере: после получения токена на сервере, отправьте POST-запрос на https://www.google.com/recaptcha/api/siteverify с параметрами:
– secret: ваш секретный ключ
– response: токен, полученный от клиента
– remoteip (необязательно): IP-адрес пользователя
Сервер Google вернёт JSON-ответ, содержащий информацию о результате проверки.

Более подробную информацию можете узнать в документации самой капчи.

5. Теперь на серверной стороне выполните проверку ответа

Пример на PHP

<?php
// Ваш секретный ключ reCAPTCHA v3
$secret = 'YOUR_SECRET_KEY';

// Получаем токен с формы
$token = $_POST['recaptcha-token'] ?? '';

// Отправляем запрос к Google для проверки токена
$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret={$secret}&response={$token}"
);

$result = json_decode($response, true);

// Проверяем успешность и оценку доверия
if ($result['success'] && $result['score'] >= 0.5 && $result['action'] === 'submit') {
    echo "Проверка пройдена";
} else {
    http_response_code(403);
    echo "Проверка не пройдена";
}
?>

Примечания:

Убедитесь, что на клиенте токен отправляется в скрытом поле формы с именем recaptcha-token:

<input type="hidden" name="recaptcha-token" id="recaptcha-token">

Порог score можно менять в зависимости от уровня строгости (например, 0.3–0.7).
Проверка action === 'submit' повышает безопасность, чтобы убедиться, что токен предназначен для конкретного действия на странице.

Возможные ошибки и отладка

Неверный сайт или ключ

Капча не загружается или возвращает invalid-input-secret.

Таймаут решения

Сервер не дождался ответа, увеличьте время ожидания.

Пустой токен

ошибка при передаче результата на страницу.

Ответ success=false

Токен просрочен, повторно использован или подделан. Для диагностики включите логирование запросов и проверяйте поле error-codes в ответе от Google.

Низкий score (например, <0.5)

Может привести к отказу даже при success=true, так как Google оценивает доверие к пользователю.

Проверяйте action

Чтобы убедиться, что токен предназначен для конкретного действия на странице

Проверка устойчивости защиты

После интеграции важно убедиться, что система действительно защищает сайт от автоматических действий.

Попробуйте отправить форму без генерации токена через grecaptcha.execute — сервер должен отклонить запрос (success: false).

Проведите нагрузочное тестирование (например, с помощью k6 или JMeter) при скорости свыше 100 запросов в секунду — капча должна корректно отображаться, а система валидации оставаться стабильной.

Проверьте реакцию сервера при просроченном, повторно использованном или поддельном токене — ожидаемый ответ: 403 Forbidden или отказ по порогу доверия (score ниже минимального значения).

Рекомендации по безопасности и оптимизации

Храните <b>Secret Key</b> только на сервере, не передавайте его в клиентскую часть.

Храните Secret Key только на сервере, не передавайте его в клиентскую часть.

Логируйте коды ошибок (<b>error-codes</b>) и значение <b>score</b>, чтобы понимать причины отклонений.

Логируйте коды ошибок (error-codes) и значение score, чтобы понимать причины отклонений.

<b>Проверяйте поле action</b> в ответе от Google, чтобы убедиться, что токен предназначен для нужного действия на странице.

Проверяйте поле action в ответе от Google, чтобы убедиться, что токен предназначен для нужного действия на странице.

Добавьте внизу формы ссылки на <b>Политику конфиденциальности</b> и <b>Условия использования Google</b>, как требует лицензия.

Добавьте внизу формы ссылки на Политику конфиденциальности и Условия использования Google, как требует лицензия.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с reCAPTCHA v3 — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить reCAPTCHA v3 и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Документация reCAPTCHA v3 →

Документация CapMonster Cloud (работа с reCAPTCHA v3) →

Как решить ReCaptcha v3 на Python с помощью Selenium & CapMonster Cloud →

Как решить ReCaptcha v3 на JavaScript с помощью Selenium&CapMonster Cloud →

Как решить ReCaptcha v3 на C# с помощью Selenium&CapMonster Cloud →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке

reCAPTCHA v3 и CapMonster Cloud

reCAPTCHA v3
и CapMonster Cloud