Loading...
reCAPTCHA V2解决方案的定价
接手一个已经部署 captcha 或其他防护的站点,却无法访问源代码?此时最关心的是使用了哪种方案、配置是否正确以及如何测试。
在本文中,我们尽量回答了所有关键问题。要开始解决问题,第一步是确定当前使用的是哪种防护系统。为此,您可以查看常见验证码与反机器人防护系统列表,其中提供了可视化示例和关键特征,帮助您快速判断自己正在使用哪一种方案。
如果您发现自己的网站使用的是 reCAPTCHA V2,下一步就是更深入地了解它的特性和具体工作方式。在本文中,您还可以查看 reCAPTCHA V2 的接入说明,以便彻底弄清它在您的网站上是如何运行的。这样一来,您不仅能更好地理解当前的防护机制,还可以更合理地规划后续的维护和支持。
什么是 Google reCAPTCHA v2
reCAPTCHA v2 是 Google 提供的防护系统,用于阻止垃圾信息和其他可能危害网站的自动化操作。它帮助区分真实访客与机器人,从而保持站点安全稳定。
reCAPTCHA V2 示例
reCAPTCHA v2
最经典的勾选式验证码,用户需要勾选“我不是机器人”,有时还会弹出额外题目(例如选择特定图片)。
reCAPTCHA v2 Invisible
不可见版本,自动完成验证,无需用户点击。
reCAPTCHA v2 Enterprise
面向企业的版本,包含更多安全与控制功能。
如何通过 CapMonster Cloud 解决 reCAPTCHA v2
测试包含 reCAPTCHA V2 的表单时,常常需要确认 captcha 是否集成正确并工作正常。
你可以手动验证站点上的 captcha。
- 打开表单页面,确认 captcha 能够显示。
- 尝试在不解题的情况下提交——服务器应返回错误。
- 解题成功后,表单应顺利提交。
若想自动解题,可以使用 CapMonster Cloud 等服务,它会接收验证码参数、在服务器中解析并返回可直接使用的 token。把 token 注入表单即可无需人工操作通过验证。
通过 CapMonster Cloud API 工作的一般流程:
创建任务
此步骤需要提交 API Key、验证码类型和参数,服务会返回唯一的 taskId 供后续查询结果。
发送 API 请求解决 reCAPTCHA v2 的请求必须包含以下参数:
type - RecaptchaV2Task;
websiteURL - 验证码所在页面地址;
websiteKey - 页面上提供的 sitekey。
关于参数以及如何自动收集,可参阅 CapMonster Cloud 文档。
提交任务的地址:
https://api.capmonster.cloud/createTask请求示例:
{
"clientKey": "API_KEY",
"task": {
"type": "RecaptchaV2Task",
"websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
"websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
}
}
响应:
{
"errorId":0,
"taskId":407533072
}
获取结果创建任务后,请定期查询解题状态。
接收结果的地址:
https://api.capmonster.cloud/getTaskResult请求示例:
{
"clientKey":"API_KEY",
"taskId": 407533072
}
使用现成库解决 reCAPTCHA v2
CapMonster Cloud 提供适用于 Python、JavaScript(Node.js)和 C# 的 SDK,方便快速集成。
Python
JavaScript
C#
如何将 reCAPTCHA v2 接入你的网站
想弄清验证码在站点上的运行方式、验证逻辑以及重新部署/配置的步骤,请查看本节内容。我们在此描述了完整的防护部署流程。
1. 前往 reCAPTCHA 管理控制台页面。
2. 注册一个新站点。
选择验证码类型——reCAPTCHA v2(勾选 + 任务或不可见版本)。
3. 获取两组密钥:
- Site key — 前端使用的公钥;
- Secret key — 服务器验证用的私钥。
在设置中可指定允许使用 reCAPTCHA 的域名或选择安全级别(从基础到最高)。
4. 客户端代码示例。 带 reCAPTCHA v2 的 HTML 表单(可直接粘贴到页面 body 中):
包含 reCAPTCHA v2 的 HTML 表单勾选式 widget:
<html>
<head>
<title>reCAPTCHA demo</title>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
</head>
<body>
<form action="submit" method="POST">
<div class="g-recaptcha" data-sitekey="your_site_key"></div>
<br/>
<input type="submit" value="Submit">
</form>
</body>
</html>此代码加载 Google reCAPTCHA 库并创建使用 POST 提交的表单。<div class="g-recaptcha" data-sitekey="your_site_key"></div> 会显示带公钥的 reCAPTCHA v2 控件。点击 “Submit” 时,表单会携带 g-recaptcha-response token 发送到服务器。
不可见 reCAPTCHA v2:
<html>
<head>
<title>reCAPTCHA demo</title>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<script>
function onSubmit(token) {
document.getElementById("demo-form").submit();
}
</script>
</head>
<body>
<form id="demo-form" action="?" method="POST">
<button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
<br/>
</form>
</body>
</html>按钮 <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> 会自动执行不可见验证码、生成 token 并调用 onSubmit。
函数 onSubmit(token) 接收 g-recaptcha-response token 并将表单发往服务器验证。
与勾选式控件不同,用户看不到验证码,验证过程在后台完成。
可能的错误与调试
站点或密钥无效
验证码未加载或返回 invalid-input-secret。
求解超时
服务器未在规定时间收到答案,请延长等待时间。
空 token
将结果写回页面时出现错误。
Response success=false
token 已过期、被重复使用或被伪造。请开启请求日志并检查 Google 返回的 error-codes 字段。
验证防护的可靠性
集成完成后,务必确认系统确实能够抵御自动化行为。
尝试在未完成验证码的情况下发送请求——服务器应返回 success: false.
使用 k6 或 JMeter 等工具,在每秒超过 100 个请求的情况下进行压力测试——验证码应能正常显示,并且验证系统应保持稳定运行。
检查服务器在令牌过期或重复发送时的响应——预期返回应为 403 Forbidden.
安全与优化建议
仅在服务器端保存 Secret Key,不要将其暴露给客户端。
记录错误代码(error-codes),以便了解具体校验失败的原因。
在表单底部添加指向隐私政策和Google 使用条款的链接,以满足许可要求。
支持的验证码
GeeTest
Cloudflare Turnstile
DataDome结论
如果你接手了一个已经集成了验证码或其他防护系统的网站,但又无法访问其代码,也不用担心!要判断实际使用了哪种技术其实并不难。为了核实其是否正常工作,你可以在隔离的测试环境中使用CapMonster Cloud识别服务,确保令牌处理机制和校验逻辑都运行正常。
对于reCAPTCHA V2,只需识别出所用的系统,观察其行为,并确认防护是否正常工作即可。本文演示了如何识别 reCAPTCHA V2,以及到哪里查找其接入或重新配置的说明文档,从而帮助你自信地维护防护方案并掌控其运行情况。
Amazon Waf
Faucet Pay
Imperva (Incapsula)
Prosopo
Text CAPTCHA
Yidun
MTCaptcha
Altcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly