适用于浏览器的扩展程序

面向企业

价格

博客

文档

中文

Cloudflare Turnstile
和 CapMonster Cloud

验证码识别、网站安装与测试。

接手一个已经部署 captcha 或其他防护的站点，却无法访问源代码？此时最关心的是使用了哪种方案、配置是否正确以及如何测试。

在本文中，我们尽量回答了所有关键问题。要开始解决问题，第一步是确定当前使用的是哪种防护系统。为此，您可以查看常见验证码与反机器人防护系统列表，其中提供了可视化示例和关键特征，帮助您快速判断自己正在使用哪一种方案。

如果您发现自己的网站使用的是 Cloudflare Turnstile，下一步就是更深入地了解它的特性和具体工作方式。在本文中，您还可以查看 Cloudflare Turnstile 的接入说明，以便彻底弄清它在您的网站上是如何运行的。这样一来，您不仅能更好地理解当前的防护机制，还可以更合理地规划后续的维护和支持。

什么是 Cloudflare Turnstile

Cloudflare Turnstile 是 Cloudflare 推出的现代验证码，用于保护网站免受自动操作的侵害。对于网站访客而言，验证过程几乎是隐形的，无需完成任务：通常只需单击复选框即可，系统随后决定是否放行或在怀疑是机器人时进行拦截。与 Cloudflare Challenge 不同，Turnstile 验证码直接放置在网站上，而不是在单独的窗口中——通常位于登录或注册表单中。

如何通过 CapMonster Cloud 识别 Cloudflare Turnstile

测试包含 Cloudflare Turnstile 的表单时，常常需要确认 captcha 是否集成正确并工作正常。

你可以手动验证站点上的 captcha。

打开表单页面，确认 captcha 能够显示。
尝试在不解题的情况下提交——服务器应返回错误。
解题成功后，表单应顺利提交。

若想自动解题，可以使用 CapMonster Cloud 等服务，它会接收验证码参数、在服务器中解析并返回可直接使用的 token。把 token 注入表单即可无需人工操作通过验证。

通过 CapMonster Cloud API 工作的一般流程：

创建任务

在此阶段，您传递 API 密钥、验证码类型及其参数。服务返回唯一的 taskId，稍后可用于获取结果。

发送 API 请求

识别 Cloudflare Turnstile 的请求必须指定以下参数：

type - TurnstileTask;

websiteURL - 解决验证码的页面地址;

websiteKey - Turnstile 密钥 (Sitekey).

关于参数以及如何自动收集，可参阅 CapMonster Cloud 文档。

提交任务的地址：

https://api.capmonster.cloud/createTask

请求示例：

{
  "clientKey": "API_KEY",
  "task": {
    "type": "TurnstileTask",
    "websiteURL": "http://tsmanaged.zlsupport.com",
    "websiteKey": "0x4AAAAAAABUYP0XeMJF0xoy"
  }
}

响应：

{
  "errorId":0,
  "taskId":407533072
}

获取结果

创建任务后，请定期查询解题状态。

接收结果的地址：

https://api.capmonster.cloud/getTaskResult

请求示例：

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

响应：

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
    "token": "0.iGX3xsyFCkbGePM3jP4P4khLo6TrLukt8ZzBvwuQOvbC...f61f3082"
  }
}

将 token 应用到页面

服务器从 CapMonster Cloud 接收到 Turnstile Token 后，需要将其传递给网站。服务器将验证数据并确认验证码已成功解决。对于自动化，您可以使用 HTTP 请求或 Puppeteer、Selenium、Playwright 等工具——它们允许您将值插入表单并发送请求，模拟用户操作。

使用现成库进行 Cloudflare Turnstile 识别

CapMonster Cloud 服务提供了现成的库，方便在 Python、JavaScript (Node.js) 和 C# 中使用。

Python

JavaScript

识别、Token 插入和表单提交

Node.js 示例，展示在您网页上进行验证码识别的完整周期。可能的方法：使用 HTTP 请求获取 HTML 和验证码参数，发送响应并处理结果；或使用自动化工具（如 Playwright）——打开页面，等待验证码，发送参数（测试时可发送正确或错误数据），通过 CapMonster Cloud 客户端获取结果，将 Token 插入表单并查看结果。

// npm install playwright @zennolab_com/capmonstercloud-client

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, TurnstileRequest } from "@zennolab_com/capmonstercloud-client";

async function main() {
  // 1. 通过 CapMonster Cloud 识别 Turnstile
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: 'YOUR_CAPMONSTER_API_KEY' })
  );

  const turnstileRequest = new TurnstileRequest({
    websiteURL: 'http://tsmanaged.zlsupport.com',
    websiteKey: '0x4AAAAAAABUYP0XeMJF0xoy',
  });

  const result = await cmcClient.Solve(turnstileRequest);
  const token = result.solution.token;
  console.log('已接收 Turnstile Token：', token);

  // 2. 启动 Playwright
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();
  await page.goto('http://tsmanaged.zlsupport.com');

  // 3. 填写登录名和密码
  await page.fill('#username', 'your_username');
  await page.fill('#password', 'your_password');

  // 4. 等待隐藏的 Token 字段出现
  await page.waitForSelector('#token', { state: 'attached', timeout: 60000 });

  // 5. 插入 Token 并使字段可见
  await page.evaluate((t) => {
    const tokenInput = document.querySelector('#token');
    if (tokenInput) {
      tokenInput.type = 'text';  // 使字段可见
      tokenInput.value = t;      // 插入 Token
      console.log('Token 已插入 Token 字段');
    } else {
      console.error('未找到字段 #token');
    }
  }, token);

  // 6. 验证 Token 是否实际已插入
  const checkValue = await page.$eval('#token', el => el.value);
  console.log('检查 Token 值：', checkValue);

  // 7. 提交表单
  await page.click('button[type="submit"]');
  console.log('已提交带有 Turnstile Token 的表单');

  // await browser.close();
}

main().catch(err => console.error(err));

还有一个绝佳选项是使用 CapMonster Cloud 浏览器扩展程序测试验证码识别，它允许您直接在页面上快速检查验证码功能，实时跟踪识别过程而无需编写代码——可在 Chrome 和 Firefox 中安装。

如何将 Cloudflare Turnstile 连接到您的网站

为了自信地掌握验证码在您网站上的工作原理，了解其验证逻辑，重新连接或重新配置，建议学习本节。它描述了连接保护的过程——这将帮助您快速了解所有细微差别。

1. 转到 Cloudflare Turnstile 页面，点击 Get Started。

2. 注册服务。

3. 在 Turnstile Widgets 中，点击蓝色的 Add Widget 按钮。

HowTo Connect image 1

4. 配置 Cloudflare Turnstile，指定：

Widget name—验证码名称（为了方便，例如：登录表单）。
Hostname Management—验证码将工作的域名（例如 example.com）。
Widget Mode:
- Managed—最佳选项，验证码自行决定是否显示复选框。
- Non-interactive—自动执行验证，无需点击。
- Invisible—完全不可见。
Pre-clearance—如果站点通过 Cloudflare 代理（为避免重复验证），请设置为 Yes。

5. 创建小部件后，您将收到两个密钥—Site Key 和 Secret Key。

HowTo Connect image 2

6. 连接客户端部分

1) 连接 Turnstile 脚本：

自动渲染（页面加载时自动创建小部件）：

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

编程控制（通过 JavaScript 自行创建小部件）：

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js?render=explicit" defer></script>

重要：脚本必须从确切的 URL 加载。代理或缓存可能会导致失败。

2) 为小部件创建容器

自动：

<div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>"></div>

编程方式：

<div id="turnstile-container"></div>

3) 小部件配置

通过数据属性：

<div class="cf-turnstile"
            data-sitekey="<YOUR_SITEKEY>"
            data-theme="light"
            data-size="normal"
            data-callback="onSuccess">
          </div>

通过 JavaScript：

const widgetId = turnstile.render("#turnstile-container", {
  sitekey: "<YOUR_SITEKEY>",
  theme: "light",
  size: "normal",
  callback: token => console.log("Token:", token)
});

4) 使用 Token

const token = turnstile.getResponse(widgetId);      // 获取 Token
const isExpired = turnstile.isExpired(widgetId);    // 检查过期
turnstile.reset(widgetId);                          // 重置
turnstile.remove(widgetId);                         // 移除
turnstile.execute("#turnstile-container");         // 手动执行

5) 与表单集成

<form id="my-form" method="POST">
  <input type="hidden" name="cf-turnstile-response" id="cf-turnstile-response">
  <button type="submit">提交</button>
</form>

<script>
function onSuccess(token) {
  document.getElementById("cf-turnstile-response").value = token;
}
</script>

代码示例

<title>Turnstile Example</title>
  <!-- 连接 Turnstile 脚本 -->
  <script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
</head>
<body>
  <h1>带有 Turnstile 的表单示例</h1>

  <form id="my-form">
    <label for="username">姓名：</label>
    <input type="text" name="username" id="username" required>
    
    <!-- Turnstile 容器 -->
    <div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>" data-callback="onTurnstileSuccess"></div>
    
    <button type="submit">提交</button>
  </form>

  <script>
    // 通过验证码后调用的回调
    function onTurnstileSuccess(token) {
      console.log("已接收 Turnstile Token：", token);
      // 将 Token 保存到隐藏表单字段（可选）
      document.getElementById("cf-turnstile-token")?.remove();
      const input = document.createElement("input");
      input.type = "hidden";
      input.name = "cf-turnstile-response";
      input.id = "cf-turnstile-token";
      input.value = token;
      document.getElementById("my-form").appendChild(input);
    }

    // 表单提交
    document.getElementById("my-form").addEventListener("submit", async (e) => {
      e.preventDefault();

      const formData = new FormData(e.target);
      const response = await fetch("/submit-form", {
        method: "POST",
        body: formData
      });

      const result = await response.json();
      if(result.success){
        alert("表单已成功提交且 Token 已验证！");
      } else {
        alert("Turnstile Token 验证错误。请重试。");
        // 重置小部件，以便用户可以再次完成验证码
        turnstile.reset();
      }
    });
  </script>
</body>
</html>

6) 配置服务器端部分

服务器端验证流程：

客户端：用户在页面上完成 Turnstile → 创建 Token。
表单提交：Token 与表单数据一起发送到服务器。
服务器：使用 Token 和密钥向 Cloudflare Siteverify API 发送 POST 请求。
Cloudflare：返回包含结果 (success: true/false) 和附加信息 (action, hostname, 完成时间) 的 JSON。
服务器：决定允许还是拒绝用户操作。

Siteverify API：

POST

https://challenges.cloudflare.com/turnstile/v0/siteverify

请求参数：

secret (必填)：来自 Cloudflare 面板的 Turnstile 密钥
response (必填)：在客户端接收到的 Token
remoteip (可选)：用户的 IP 地址（推荐）
idempotency_key (可选)：用于防止重复验证的唯一 UUID

Token 属性：

最大长度：2048 个字符
有效期 5 分钟
一次性使用
过期或重新验证时，API 将返回 timeout-or-duplicate 错误

PHP 验证示例

<?php
function validateTurnstile($token, $secret, $remoteip = null) {
    $url = 'https://challenges.cloudflare.com/turnstile/v0/siteverify';
    $data = ['secret' => $secret, 'response' => $token];
    if ($remoteip) $data['remoteip'] = $remoteip;

    $options = [
        'http' => [
            'header'  => "Content-type: application/x-www-form-urlencoded
",
            'method'  => 'POST',
            'content' => http_build_query($data)
        ]
    ];

    $response = file_get_contents($url, false, stream_context_create($options));
    if ($response === FALSE) {
        return ['success' => false, 'error-codes' => ['internal-error']];
    }

    return json_decode($response, true);
}

// 用法
$secret_key = 'YOUR_SECRET_KEY';
$token = $_POST['cf-turnstile-response'] ?? '';
$remoteip = $_SERVER['REMOTE_ADDR'];

$result = validateTurnstile($token, $secret_key, $remoteip);

if($result['success']){
    echo "表单提交成功！";
} else {
    echo "验证错误： " . implode(', ', $result['error-codes']);
}
?>

所有关于安装和配置 Cloudflare Turnstile 的详细说明，包括客户端和服务器集成、代码示例、错误描述和安全建议，均可在 Cloudflare 官方文档中找到。

可能的错误与调试

参数不正确

验证码未显示或返回错误，如 invalid-input-secret、missing-input-response、invalid-input-response。请检查 sitekey 和 secret key 的有效性，以及 Cloudflare Dashboard 中的设置。

识别超时

Token 已过期（有效期 300 秒）或未及时收到。请确保连接稳定且 API 集成正确。

Token 为空或不正确

缺少参数 cf-turnstile-response 或参数不正确。请检查 Token 到表单和服务器的传输。

响应 success=false

Token 无效、已过期或已被使用。每个 Token 只能验证一次。启用 Siteverify 请求和响应的日志记录以进行分析。

验证防护的可靠性

集成完成后，务必确认系统确实能够抵御自动化行为。

尝试在不解决验证码的情况下执行请求——服务器应返回 success: false。

进行负载测试（例如使用 k6 或 JMeter），速度超过 100+ 请求/秒。Turnstile 应正确处理请求，服务器应通过 Siteverify API 稳定验证 Token。

检查对过期或重复提交 Token 的响应——预期的 API 响应：success: false 和 error-codes: ["timeout-or-duplicate"]。

安全与优化建议

仅在服务器端验证 Token，切勿从前端调用 Siteverify API——这会泄露您的密钥。

仅在服务器端验证 Token，切勿从前端调用 Siteverify API——这会泄露您的密钥。

使用环境变量或密钥管理系统，而不是将密钥存储在代码中。

检查附加字段（<b>hostname</b>、<b>action</b>），以确保请求来自您的网站。

检查附加字段（hostname、action），以确保请求来自您的网站。

使用 HTTPS——所有对 Siteverify 的调用都应通过安全连接进行。

实施错误处理——当 API 不可用时，向用户显示清晰的消息，而不泄露内部数据。

按域名限制 sitekey 的使用。

如果您的组织或隐私政策有要求，请将<b>隐私政策</b>和<b>Cloudflare 服务条款</b>的链接添加到表单中。

如果您的组织或隐私政策有要求，请将隐私政策和Cloudflare 服务条款的链接添加到表单中。

结论

如果你接手了一个已经集成了验证码或其他防护系统的网站，但又无法访问其代码，也不用担心！要判断实际使用了哪种技术其实并不难。为了核实其是否正常工作，你可以在隔离的测试环境中使用CapMonster Cloud识别服务，确保令牌处理机制和校验逻辑都运行正常。

对于Cloudflare Turnstile，只需识别出所用的系统，观察其行为，并确认防护是否正常工作即可。本文演示了如何识别 Cloudflare Turnstile，以及到哪里查找其接入或重新配置的说明文档，从而帮助你自信地维护防护方案并掌控其运行情况。

实用链接

Cloudflare Turnstile 文档 →

CapMonster Cloud 文档（使用 Cloudflare Turnstile） →

什么是 Cloudflare 验证码以及如何使用 CapMonster Cloud 解决它 →

Cloudflare 如何检测自动流量：保护网站免受机器人攻击 →

CapMonster Cloud 浏览器扩展支持 Chrome 与 Firefox。完整的安装与使用说明请见此处。

Cloudflare Turnstile 和 CapMonster Cloud

Cloudflare Turnstile
和 CapMonster Cloud