Loading...
MTCaptcha解决方案的定价
接手一个已经部署 captcha 或其他防护的站点,却无法访问源代码?此时最关心的是使用了哪种方案、配置是否正确以及如何测试。
在本文中,我们尽量回答了所有关键问题。要开始解决问题,第一步是确定当前使用的是哪种防护系统。为此,您可以查看常见验证码与反机器人防护系统列表,其中提供了可视化示例和关键特征,帮助您快速判断自己正在使用哪一种方案。
如果您发现自己的网站使用的是 MTCaptcha,下一步就是更深入地了解它的特性和具体工作方式。在本文中,您还可以查看 MTCaptcha 的接入说明,以便彻底弄清它在您的网站上是如何运行的。这样一来,您不仅能更好地理解当前的防护机制,还可以更合理地规划后续的维护和支持。
什么是 MTCaptcha
MTCaptcha 是一种保护网站免受自动化操作的系统,使用智能验证和验证码。
首先,服务在后台分析流量。如果访问者的行为可疑,系统会自动显示文本验证码进行额外验证。
通过 CapMonster Cloud 解决 MTCaptcha
测试包含 MTCaptcha 的表单时,常常需要确认 captcha 是否集成正确并工作正常。
你可以手动验证站点上的 captcha。
- 打开表单页面,确认 captcha 能够显示。
- 尝试在不解题的情况下提交——服务器应返回错误。
- 解题成功后,表单应顺利提交。
若想自动解题,可以使用 CapMonster Cloud 等服务,它会接收验证码参数、在服务器中解析并返回可直接使用的 token。把 token 注入表单即可无需人工操作通过验证。
通过 CapMonster Cloud API 工作的一般流程:
创建任务
在此步骤中,您提供 API 密钥、验证码类型及其参数。服务返回唯一 taskId,可用于稍后获取结果。
发送 API 请求在请求解决 MTCaptcha 时,必须提供以下参数:
type - MTCaptchaTask
websiteURL - 解决验证码的主页面地址。
websiteKey - MTcaptcha 密钥,在请求中作为参数 “sk” 传递。
pageAction - action 参数在请求中以 “act” 的形式传递,并在令牌验证时显示。只有当其值不同于默认值 %24 时才需要填写。
isInvisible - 如果验证码是隐形的,即带有隐藏确认字段,则请填写 true。若怀疑有机器人行为,会触发额外验证。
关于参数以及如何自动收集,可参阅 CapMonster Cloud 文档。
提交任务的地址:
https://api.capmonster.cloud/createTask请求示例:
{
"clientKey": "API_KEY",
"task":
{
"type": "MTCaptchaTask",
"websiteURL": "https://www.example.com",
"websiteKey": "MTPublic-abCDEFJAB",
"isInvisible": false,
"pageAction": "login"
}
}
响应:
{
"errorId":0,
"taskId":407533072
}
获取结果创建任务后,请定期查询解题状态。
使用现成库识别 MTCaptcha
CapMonster Cloud 服务提供适用于 Python、JavaScript(Node.js)和 C# 的现成库,方便使用。
Python
JavaScript
C#
如何将 MTCaptcha 连接到您的网站
为了清楚了解网站上的验证码工作原理、理解验证逻辑、重新连接或重新配置,建议阅读此部分。它描述了保护连接过程 — 帮助快速掌握所有细节。
1. 注册或 登录 您的 MTCaptcha 账户。
2. 注册后添加您的网站。您将获得两个密钥。
- Site Key — 前端使用的公钥,用于显示小部件。
- Private Key — 服务器使用的私钥,用于验证验证码解决方案。仅在服务器端存储,不要发送给客户端。
示例:
3. 配置 MTCaptcha 客户端:
将代码插入页面 <head> 部分。
将 <YOUR SITE KEY> 替换为您在 MTCaptcha 控制面板获得的 Site Key。
<head>
<script>
var mtcaptchaConfig = {
sitekey: "<YOUR SITE KEY>"
};
(function() {
var mt_service = document.createElement('script');
mt_service.async = true;
mt_service.src = 'https://service.mtcaptcha.com/mtcv1/client/mtcaptcha.min.js';
(document.head || document.body).appendChild(mt_service);
var mt_service2 = document.createElement('script');
mt_service2.async = true;
mt_service2.src = 'https://service2.mtcaptcha.com/mtcv1/client/mtcaptcha2.min.js';
(document.head || document.body).appendChild(mt_service2);
})();
</script>
</head>
在 <body> 中添加验证码容器
在您希望显示验证码的位置(例如表单内部):
<div class="mtcaptcha"></div>小部件会自动加载。
您可以使用 现成的 SDK 和插件进行快速集成:
- Server-side SDKs: Java, Node.js, PHP
- Client-side SDKs: React, React Native, Vue
- CMS 插件: WordPress, Drupal
MTCaptcha 还提供 演示页面,可在将保护功能接入网站前进行测试和配置。
可能的错误与调试
网站或密钥无效
验证码无法加载或服务器返回 invalid-privatekey 或 privatekey-mismatch-token。请确保使用正确的 sitekey 和 privatekey。
令牌缺失或无效
错误 missing-input-token、invalid-token、bad-request。请检查令牌值是否正确传递到服务器且未被修改。
令牌过期 (token-expired)
令牌有效时间有限(通常约 120 秒),之后需要重新获取。
令牌重复验证 (token-duplicate-cal)
令牌只能验证一次 — 防止重放攻击。
密钥过期或被禁用 (expired-sitekey-or-account)
请确保密钥有效且账户活跃。
为诊断错误原因,请启用请求日志并显示 fail_codes。
验证防护的可靠性
无令牌请求应返回错误 (missing-input-token 或类似)。
负载测试(例如 k6 或 JMeter):高负载下,验证码界面应正常工作,服务器应稳定验证令牌。
重复或过期令牌验证应返回相应 fail_code,例如 token-duplicate-cal 或 token-expired。
安全与优化建议
privatekey 仅保存在服务器上,不要传递给客户端。
记录 fail_codes 以追踪错误原因并分析绕过防护的尝试。
如果平台政策要求,请在表单中放置指向隐私政策和使用条款的链接。
支持的验证码
reCAPTCHA v2
GeeTest
Cloudflare Turnstile
DataDome结论
如果你接手了一个已经集成了验证码或其他防护系统的网站,但又无法访问其代码,也不用担心!要判断实际使用了哪种技术其实并不难。为了核实其是否正常工作,你可以在隔离的测试环境中使用CapMonster Cloud识别服务,确保令牌处理机制和校验逻辑都运行正常。
对于MTCaptcha,只需识别出所用的系统,观察其行为,并确认防护是否正常工作即可。本文演示了如何识别 MTCaptcha,以及到哪里查找其接入或重新配置的说明文档,从而帮助你自信地维护防护方案并掌控其运行情况。
Amazon Waf
Faucet Pay
Imperva (Incapsula)
Prosopo
Text CAPTCHA
Yidun
Altcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly