FunCaptcha
和 CapMonster Cloud

验证码解决方案，网站安装与测试。

接手一个已经部署 captcha 或其他防护的站点，却无法访问源代码？此时最关心的是使用了哪种方案、配置是否正确以及如何测试。

在本文中，我们尽量回答了所有关键问题。要开始解决问题，第一步是确定当前使用的是哪种防护系统。为此，您可以查看常见验证码与反机器人防护系统列表，其中提供了可视化示例和关键特征，帮助您快速判断自己正在使用哪一种方案。

如果您发现自己的网站使用的是 FunCaptcha (Arkose Labs CAPTCHA)，下一步就是更深入地了解它的特性和具体工作方式。在本文中，您还可以查看 FunCaptcha (Arkose Labs CAPTCHA) 的接入说明，以便彻底弄清它在您的网站上是如何运行的。这样一来，您不仅能更好地理解当前的防护机制，还可以更合理地规划后续的维护和支持。

FunCaptcha 是什么

FunCaptcha 是 Arkose Labs 开发的交互式反机器人保护系统。它通过游戏和视觉挑战验证用户是否为真人，人类容易完成，但自动化很难。FunCaptcha 用于保护注册、登录、在线支付、营销活动以及防止欺诈、垃圾信息和大规模自动化操作。

FunCaptcha 示例

旋转 3D 对象

用户旋转 3D 模型或形状，将其放置到正确位置。

按条件选择对象

根据指定规则选择图片或元素（例如，“选择所有苹果”）。

交互式任务（拖放 / 路径跟随）

用户对元素执行操作，例如沿特定路径拖动它们。

音频问题

用户听音频并选择正确答案（比视觉任务使用少）。

通过 CapMonster Cloud 解决 FunCaptcha

测试包含 FunCaptcha 的表单时，通常需要验证验证码是否正确集成并正常工作。

您可以手动测试网站上的验证码。

打开包含表单的页面，并确保验证码显示。
尝试不完成验证码直接提交表单 — 服务器应返回错误。
验证码成功完成后 — 表单应正常提交，无错误。

要自动识别验证码，您可以使用专用服务，例如 CapMonster Cloud — 该工具接收验证码参数，在服务器上处理并返回准备好的令牌。此令牌可插入表单以通过验证，无需用户操作。

通过 CapMonster Cloud API 工作的一般流程：

创建任务

在此步骤中，您提供 API key、验证码类型及其参数。服务返回唯一 taskId，可用于稍后获取结果。

发送 API 请求

请求 FunCaptcha 时，需要提供以下参数：

type - FunCaptchaTask

websiteURL - 验证码所在页面的地址；

websitePublicKey - FunCaptcha 密钥（public key 或 pk）；

data - 附加参数。如果网站使用 data[blob]，则必填；

funcaptchaApiJSSubdomain - Arkose Labs 子域名（surl 值）。如果不同于默认，请指定：client-api.arkoselabs.com

userAgent - 浏览器 User-Agent。请仅发送当前 Windows UA。

此任务还需要使用您的代理：

proxyType :

http - 普通 HTTP/HTTPS 代理；
https - 如果 'http' 不工作请尝试（某些自定义代理需要）；
socks4 - SOCKS4 类型代理；
socks5 - SOCKS5 类型代理。

proxyAddress - IPv4/IPv6 代理 IP 地址。

proxyPort - 代理端口。

proxyLogin - 代理服务器用户名。

proxyPassword - 代理服务器密码。

关于参数以及如何自动收集，可参阅 CapMonster Cloud 文档。

提交任务的地址：

https://api.capmonster.cloud/createTask

请求示例：


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36",
    "proxyType": "http",  // 如有需要请添加代理
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

响应：

{
  "errorId":0,
  "taskId":407533072
}

获取结果

创建任务后，请定期查询解题状态。

接收结果的地址：

https://api.capmonster.cloud/getTaskResult

请求示例：

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

响应：


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

将 token 应用到页面

获取的令牌可以插入隐藏表单字段，或调用网站上的 JS 函数以确认完成。服务器将视表单为有效。自动化和测试可使用 Puppeteer、Selenium 或 Playwright，模拟用户操作、插入令牌并提交表单。


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// 来自 CapMonster Cloud 的令牌
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * 通用 Arkose 捕获 (v1 / v2)
   * 在页面加载前执行
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // 通过 Object.defineProperty 捕获（Arkose 常用）
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // 备用：定期检查全局对象
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // 传递令牌的通用点
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // 替代方案
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // 备用
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * 打开页面
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * 此处网站应初始化 FunCaptcha
   * (注册、登录、按钮、表单等)
   */

  /**
   * 传递准备好的令牌
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * 给页面处理结果的时间
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

您还可以使用 CapMonster Cloud 浏览器扩展测试验证码，实时查看解决过程，无需编写代码 — 可安装于 Chrome 和 Firefox。

如何将 FunCaptcha 连接到您的网站

要理解验证码在您网站上的工作方式、验证逻辑，以及重新连接或配置，建议阅读此部分。它描述了保护集成流程，帮助快速掌握细节。

注册 Arkose Labs 并获取 Arkose Command Center 访问权限（您可以通过表单发送聊天信息，例如此处或此处）。
获得访问权限后，在 Settings → Keys 中获取 两个密钥（Public / Private）。
如有需要，请联系 Customer Success Manager (CSM)：
- 获取自定义 API 域名；
- 验证 API 请求和响应的 schema。

Arkose 建议

测试使用 Development Key。
每个 workflow 使用单独 Production Key（登录、注册、购买等）。
不同网站使用不同密钥。

总体流程

客户端收集数据，如有必要显示 challenge。
客户端获取 一次性 session token。
服务器通过 Arkose Verify API 验证 token。

步骤 1. 客户端集成

在浏览器端 (Arkose Bot Manager)：

分析用户行为；
如有必要显示 Enforcement Challenge；
返回 session token。

Client API:

可用于测试:
client-api.arkoselabs.com
生产环境建议使用自定义域名:
<company>-api.arkoselabs.com

主要要求

Arkose 客户端脚本 每页只加载一次
必须定义全局 callback
必须调用 setConfig()
根据结果决定允许或拒绝操作。

客户端结果 — token 发送到服务器。

集成示例


<html>
<head>
  <!--
    在页面 <head> 中连接 Arkose Labs API。示例：
    - 将 <YOUR PUBLIC KEY> 替换为 Arkose Labs 提供的 public key；
    - 将 <YOUR CALLBACK> 替换为您定义的全局 callback 函数名。
   示例:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    触发元素可放置在页面任意位置，并可随时加入 DOM。
  -->
  <button id="arkose-trigger">
    触发元素
  </button>

  <!--
    设置 Arkose（检测或强制模式），将 script 放在 </body> 前并定义全局 callback 函数。
  -->
  <script>
    /*
      当 Arkose API 准备好时，全局函数将被调用。函数名必须与加载 Arkose API 的 script 的 data-callback 属性一致。
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // 需发送到服务器的一次性 token
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

步骤 2. 服务器验证

服务器通过 Arkose Verify API 验证 token。

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

必填参数

POST 请求示例


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

API 响应包含会话信息和验证结果。

关键点

PHP 服务器验证示例：


<?php
$private_key = 'YOUR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => '缺少 session token']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => '验证码验证出错']);
    exit;
}

echo $result;
?>

工作原理：

关于 FunCaptcha 集成的更多信息，请参见官方文档。

可能的错误与调试

请求参数不正确

确保您为客户端使用正确的 Public Key，为服务器使用正确的 Private Key，并向 Verify API 传递正确的 session_token。

session_token 为空或无效

服务器将收到空结果或验证错误。请检查客户端在完成 captcha 后正确发送 token。

解决超时

如果用户未及时完成验证，Arkose 服务器可能返回错误或拒绝验证。请在服务器端增加允许等待时间。

验证防护的可靠性

尝试不提供 session_token 发送请求 — 服务器应返回错误并拒绝请求。

进行压力测试（例如使用 k6 或 JMeter）每秒 100–200+ 请求 — captcha 应正确初始化，后端稳定处理验证。

检查过期 token (session_token) 的处理 — 服务器应返回错误并拒绝验证。

检查重复使用同一 token — 期望响应：验证被拒绝。

安全与优化建议

<b>Private Key 仅保存在服务器</b>，不要在客户端 JS 中使用。

Private Key 仅保存在服务器，不要在客户端 JS 中使用。

记录 Arkose Verify API 的完整响应，包括状态、错误码和传递参数 — 有助于快速排查问题。

记录 Arkose Verify API 的完整响应，包括状态、错误码和传递参数 — 有助于快速排查问题。

所有请求使用 <b>HTTPS</b>（客户端 → 服务器 → Verify API），以防数据篡改。

所有请求使用 HTTPS（客户端 → 服务器 → Verify API），以防数据篡改。

在网站上放置 <b>隐私政策</b> 和 <b>Arkose Labs 使用条款</b> 链接，按许可要求。

在网站上放置 隐私政策 和 Arkose Labs 使用条款 链接，按许可要求。

结论

如果你接手了一个已经集成了验证码或其他防护系统的网站，但又无法访问其代码，也不用担心！要判断实际使用了哪种技术其实并不难。为了核实其是否正常工作，你可以在隔离的测试环境中使用CapMonster Cloud识别服务，确保令牌处理机制和校验逻辑都运行正常。

对于FunCaptcha，只需识别出所用的系统，观察其行为，并确认防护是否正常工作即可。本文演示了如何识别 FunCaptcha，以及到哪里查找其接入或重新配置的说明文档，从而帮助你自信地维护防护方案并掌控其运行情况。

实用链接

FunCaptcha 文档 (Arkose Labs CAPTCHA) →

FunCaptcha 连接申请表单 →

CapMonster Cloud 文档 (与 FunCaptcha 配合使用) →

CapMonster Cloud 浏览器扩展支持 Chrome 与 Firefox。完整的安装与使用说明请见此处。

FunCaptcha 和 CapMonster Cloud

通过 CapMonster Cloud 解决 FunCaptcha

FunCaptcha
和 CapMonster Cloud