Cloudflare Waiting Room
ve CapMonster Cloud

Captcha çözümü, web sitesi entegrasyonu ve test işlemleri.

Captcha veya başka bir koruma katmanı olan bir site devraldınız ama kaynak koda erişemiyor musunuz? O zaman hangi çözümün kurulu olduğunu, doğru ayarlanıp ayarlanmadığını ve nasıl test edileceğini bilmek istersiniz.

Bu makalede tüm önemli sorulara cevap vermeye çalıştık. Bir problemi çözmeye başlamanın ilk adımı, hangi koruma sisteminin kullanıldığını belirlemektir. Bunun için, görsel örneklerin ve neyle karşı karşıya olduğunuzu hızlıca anlamanıza yardımcı olabilecek temel işaretlerin yer aldığı popüler captcha ve anti-bot koruma sistemleri listesine başvurabilirsiniz.

Sitenizde Cloudflare Waiting Room kullanıldığını fark ederseniz, bir sonraki adım özelliklerini ve çalışma şeklini daha ayrıntılı incelemek olacaktır. Yine bu makalede, Cloudflare Waiting Room sisteminin entegrasyonuna ilişkin kılavuzu da bulabilir ve böylece sitenizde nasıl çalıştığını tamamen anlayabilirsiniz. Bu da yalnızca mevcut korumayı anlamanıza değil, aynı zamanda bakımını doğru şekilde planlamanıza da yardımcı olur.

Cloudflare Waiting Room Nedir

Cloudflare Waiting Room, trafik artışları sırasında bir web sitesini aşırı yüklenmeye karşı koruyan sanal bir kuyruktur. Ziyaretçi sayısı çok fazlaysa, "fazla" kullanıcılar geçici olarak, kuyruk durumlarını ve tahmini giriş sürelerini gördükleri bir bekleme sayfasına yönlendirilir. Bir yer açılır açılmaz otomatik olarak siteye kabul edilirler.

CapMonster Cloud ile Waiting Room Nasıl Çözülür

Waiting Room mekanizmasını test ederken, kuyruğun doğru çalıştığından ve siteye erişimi düzenlediğinden emin olmak önemlidir.

Bunu şu şekilde kontrol edebilirsiniz:

Waiting Room'un etkinleştirildiği sayfayı açın ve kullanıcı limiti aşıldığında kuyruğun göründüğünden emin olun.
Yapay yük oluşturmak için siteye aynı anda birden fazla cihazdan veya tarayıcıdan erişmeyi deneyin — bazı istekler kuyruğa alınmalıdır.
Kuyruğa alınan kullanıcıların bekleme sayfasını gördüğünü ve yer açıldığında otomatik olarak siteye alındığını doğrulayın.
Sayfayı yenilemenin kullanıcıyı kuyruktan çıkarmadığından emin olun.

Otomatik test ve captcha tanıma için, captcha parametrelerini kabul eden, bunları sunucularında işleyen ve hazır bir çözüm döndüren CapMonster Cloud gibi özel hizmetleri kullanabilirsiniz. Bu çözüm (token veya çerez), kullanıcı etkileşimi olmadan doğrulamayı geçmek için bir forma veya tarayıcıya eklenebilir.

CapMonster Cloud API ile çalışma genellikle şu adımlardan oluşur:

Görev oluşturma

Bu aşamada API anahtarınızı, captcha türünü ve parametrelerini iletirsiniz. Hizmet, daha sonra sonucu almak için kullanılabilecek benzersiz bir taskId (görev kimliği) döndürür.

API isteği gönderme

Cloudflare Waiting Room'u çözmek için istekte aşağıdaki parametreler belirtilmelidir:

type - TurnstileTask;

websiteURL - Challenge'ın (doğrulama işleminin) bulunduğu sayfanın URL'si;

websiteKey - Hedef sitedeki Cloudflare anahtarı (key);

cloudflareTaskType - wait_room;

htmlPageBase64 - <title>Waiting Room powered by Cloudflare</title> başlığını içeren Base64 kodlu HTML sayfası;

userAgent - Tarayıcı User-Agent bilgisi. Yalnızca Windows işletim sisteminden güncel bir UA iletin;

Ayrıca, bu görev için kendi proxy'lerinizi kullanmanız gerekir:

proxyType :

http - standart HTTP/HTTPS proxy;
https - "http" çalışmazsa bu seçeneği deneyin (bazı özel proxy'ler için gereklidir);
socks4 - SOCKS4 proxy;
socks5 - SOCKS5 proxy;

proxyAddress - Proxy IPv4/IPv6 adresi;

proxyPort - Proxy portu;

proxyLogin - Proxy sunucu kullanıcı adı;

proxyPassword - Proxy sunucu şifresi.

Parametreler ve otomatik toplama hakkında daha fazlası CapMonster Cloud dokümantasyonunda anlatılır.

Görev gönderim adresi:

https://api.capmonster.cloud/createTask

İstek örneği:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Yanıt:

{
  "errorId":0,
  "taskId":407533072
}

Sonucu alma

Görev oluşturduktan sonra çözüm durumunu düzenli olarak kontrol edin.

Sonucu almak için adres:

https://api.capmonster.cloud/getTaskResult

İstek örneği:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Yanıt:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

cf_clearance değişimi

Alınan çözüm (cf_clearance çerezi) tarayıcıya ayarlanabilir veya Cookie: cf_clearance= başlığı belirtilerek HTTP isteği ile birlikte gönderilebilir. Otomasyon ve test için, kullanıcı işlemlerini taklit etmenize, çerezleri enjekte etmenize ve formları göndermenize olanak tanıyan Puppeteer, Selenium veya Playwright kullanmak da uygundur.

Aşağıda, önceden alınmış çerez değerleri ile sayfanıza yapılan bir istek örneği verilmiştir. Bu test için yararlıdır: Erişim işleme ve doğrulama mantığınızın doğru çalıştığından emin olmak için hem doğru hem de kasıtlı olarak hatalı değerler iletebilirsiniz.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Ayrıca, captcha işlemini doğrudan sayfada hızlı bir şekilde kontrol etmenizi ve kod yazmadan çözüm sürecini gerçek zamanlı olarak izlemenizi sağlayan CapMonster Cloud tarayıcı uzantısını kullanarak captcha tanımayı test etmek için harika bir fırsat var – Chrome ve Firefox'ta kurulum için mevcuttur.

Cloudflare Waiting Room sitenize nasıl bağlanır

Captcha'nın sitenizde nasıl çalıştığını güvenle yönetmek, doğrulama mantığını anlamak, yeniden bağlanmak veya yeniden yapılandırmak için bu bölümü incelemenizi öneririz. Koruma bağlantı sürecini açıklar — bu, tüm nüansları hızlıca anlamanıza yardımcı olacaktır.

Gereksinimler ve hazırlık

Cloudflare Planı: Waiting Room, Business ve Enterprise planları için mevcuttur.
CDN ve Proxy Kullanımı: Siteniz Cloudflare'e bağlı olmalı ve alan adı veya alt alan adı için DNS kaydı proxied (proxy'li) olmalıdır.
Çerezler: Cloudflare kuyruk konumunu izlemek için çerezleri kullandığından, ziyaretçiler çerezleri desteklemelidir.
Hangi sayfaların/kullanıcıların kuyrukta olacağına ve hangilerinin Waiting Room'u atlayacağına (bypass edeceğine) karar verin (örneğin yöneticiler, VIP'ler, belirli yollar).

1. Cloudflare'e kayıt olun ve sitenizi bağlayın.

2. Traffic → Waiting Room bölümünde yeni bir kuyruk oluşturun:

3. Create Waiting Room (Bekleme Odası Oluştur) düğmesine tıklayın.

Şunları belirtin:

Waiting Room'un aktif olacağı Hostname / URL.
Waiting Room adı (dahili kayıtlar için).
Eş zamanlı aktif maksimum kullanıcı sayısı (sınırlı yük gerekiyorsa isteğe bağlı).

4. Bekleme sayfası tasarımını özelleştirin:

Cloudflare şablonunu veya özel HTML/CSS kullanabilirsiniz.
Logo, bekleme süresi bilgisi ve kullanıcılar için talimatlar ekleyin.

5. Kaydedin ve Waiting Room'u etkinleştirin.

6. Kuralları Yapılandırma

Cloudflare, belirli trafiğin kuyruğa dahil edilmemesine (hariç tutulmasına) izin verir.

Tipik Atlatma (Bypass) Kuralları:

Yönetici (Admin) IP adresleri: her zaman izin ver.
Yollar/URL: statik dosyaları (.js, .css, .png) veya belirli sayfaları hariç tut.
Coğrafi hedefleme: belirli ülkeleri hariç tut.
Sorgu dizesi (Query string): belirli GET parametrelerini hariç tut.

Dashboard'da yol atlatma (path bypass) kuralı örneği

Waiting Room → Manage Rules → Create new bypass rule yolunu izleyin.
Şunları yapılandırın:
- Kural Adı: Bypass JS Files
- İfade: ends_with(http.request.uri.path, ".js")
- Eylem: Bypass Waiting Room
Kaydedin ve dağıtın (deploy).

Tüm atlatma kuralları, trafiğin aktif kullanıcı sayısından hariç tutulmasını sağlar, böylece kuyruğu etkilemezler.

Gelişmiş Özellikler:

Zamanlanmış Etkinlik: Waiting Room'u yalnızca belirli zamanlarda etkinleştirme (örneğin indirimler için).
Analitik: kuyruktaki kullanıcı sayısını, bekleme sürelerini ve işlem hacmini izleme.
Ek hostname/yollar: tek bir Waiting Room birden fazla alt alan adı veya yolda çalışabilir.

API ile Yönetim:

Cloudflare Waiting Room API şunları yapmanızı sağlar:

Atlatma (bypass) kuralları oluşturma, değiştirme ve silme.
Kurallar listesini görüntüleme.
Tüm Waiting Room ayarlarını programatik olarak yönetme.

API aracılığıyla atlatma kuralı oluşturma örneği

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Çalışmayı Doğrulama

1) Siteyi farklı tarayıcılardan/cihazlardan açın.

2) Kontrol edin:

Limit aşıldığında Waiting Room görünüyor mu?
Sayfa yenilendiğinde kuyruk konumu korunuyor mu?
Atlatma kuralları çalışıyor mu (örneğin yönetici IP'si beklemeden geçiyor mu)?

Olası hatalar ve hata ayıklama

Geçersiz alan adı veya hatalı kuyruk yapılandırması

Bekleme odası sayfası görünmüyor. Kuyruk kuralının doğru URI, yol veya ana bilgisayara (host) bağlı olduğunu kontrol edin.

Sayfa yükleme zaman aşımı veya kuyruk token zaman aşımı

İstemci sunucu yanıtını beklemedi. Gecikmeleri doğru şekilde ele almak için testlerde ve izlemede zaman aşımı sürelerini artırın.

Yeniden doğrulama veya süresi dolmuş kuyruk token'ı

Kullanıcı süresi dolmuş bir token veya geçersiz çerezler kullanırsa, sistem bekleme sayfasını tekrar gösterecektir.

Diğer erişim kontrolleriyle çakışma

Waiting Room ve diğer yetkilendirme/bot koruma kurallarının eş zamanlı kullanımı döngüsel kontrollere yol açabilir. Kontrol sırası ve kullanıcı atlatma (bypass) mantığı için önerileri izleyin.

Korumanın dayanıklılığını test etme

Entegrasyondan sonra sistemin gerçekten otomatik işlemleri engellediğinden emin olun.

Sayfayı özel çerezler olmadan istemeyi deneyin — kullanıcı bekleme odasına alınmalıdır.

Zaten ayarlanmış çerezlerle tekrar girişi test edin — kullanıcı kuyruğu atlamalı ve ana içeriğe ulaşmalıdır.

Yüksek istek oranında yük testi (örneğin k6 veya JMeter ile) yapın — bekleme odası sayfası doğru şekilde görüntülenmeli ve kuyruk sunucusu kararlı kalmalıdır.

Sunucunun süresi dolmuş veya hatalı çerezlere/token'lara tepkisini kontrol edin. Beklenen sonuç — kullanıcının bekleme sayfasına geri döndürülmesidir.

Güvenlik ve optimizasyon önerileri

Kuyruk kurallarını ve token TTL (yaşam süresi) değerini yük seviyesine ve risklere göre yapılandırın

Kuyruk kurallarını ve token TTL (yaşam süresi) değerini yük seviyesine ve risklere göre yapılandırın

Tüm sırları (örneğin token imzalama anahtarlarını) yalnızca sunucuda saklayın

Tüm sırları (örneğin token imzalama anahtarlarını) yalnızca sunucuda saklayın

Kullanıcıların neden bekleme odasına alındığını anlamak ve hatalı pozitifleri belirlemek için kuyruk olaylarını ve geçiş durumlarını günlüğe (log) kaydedin.

Kullanıcıların neden bekleme odasına alındığını anlamak ve hatalı pozitifleri belirlemek için kuyruk olaylarını ve geçiş durumlarını günlüğe (log) kaydedin.

Şeffaflık için, <b>bekleme odası sayfalarına Gizlilik Politikası</b> ve <b>Kullanım Koşulları</b> bağlantılarını ekleyin.

Şeffaflık için, bekleme odası sayfalarına Gizlilik Politikası ve Kullanım Koşulları bağlantılarını ekleyin.

Sonuç

Kodu üzerinde erişiminiz olmayan, ancak üzerinde zaten bir captcha veya başka bir koruma sistemi kurulmuş bir site devraldıysanız, sorun değil! Hangi teknolojinin kullanıldığını tespit etmek oldukça kolaydır. Çalışmanın düzgün olup olmadığını kontrol etmek için ise, izole bir test ortamında CapMonster Cloud tanıma servisinden yararlanarak, jeton işleme mekanizmasının ve doğrulama mantığının doğru şekilde çalıştığından emin olabilirsiniz.

Cloudflare Waiting Room söz konusu olduğunda, sistemi tanımlamak, davranışını incelemek ve korumanın düzgün çalıştığını doğrulamak yeterlidir. Bu yazıda, Cloudflare Waiting Room nasıl tespit edilir ve entegrasyonu ya da yeniden yapılandırılması için talimatların nerede bulunabileceği gösterdik; böylece korumayı güvenle sürdürebilir ve çalışmasını kontrol altında tutabilirsiniz.

Faydalı bağlantılar

Cloudflare Waiting Room Dokümantasyonu →

CapMonster Cloud Dokümantasyonu (Cloudflare Waiting Room ile çalışma) →

Cloudflare CAPTCHA nedir ve CapMonster Cloud ile nasıl çözülür →

Cloudflare otomatik trafiği nasıl algılar: siteyi botlardan koruma →

CapMonster Cloud tarayıcı eklentisi Chrome ve Firefox için mevcut. Kurulum ve kullanım rehberi burada bulunur.

Cloudflare Waiting Room ve CapMonster Cloud

CapMonster Cloud ile Waiting Room Nasıl Çözülür

Cloudflare Waiting Room
ve CapMonster Cloud