适用于浏览器的扩展程序

面向企业

价格

博客

文档

中文

reCAPTCHA v2
与 CapMonster Cloud

解密验证码、部署到站点并进行端到端测试。

接手一个已经部署 captcha 或其他防护的站点，却无法访问源代码？此时最关心的是使用了哪种方案、配置是否正确以及如何测试。

在本文中，我们尽量回答了所有关键问题。要开始解决问题，第一步是确定当前使用的是哪种防护系统。为此，您可以查看常见验证码与反机器人防护系统列表，其中提供了可视化示例和关键特征，帮助您快速判断自己正在使用哪一种方案。

如果您发现自己的网站使用的是 reCAPTCHA V2，下一步就是更深入地了解它的特性和具体工作方式。在本文中，您还可以查看 reCAPTCHA V2 的接入说明，以便彻底弄清它在您的网站上是如何运行的。这样一来，您不仅能更好地理解当前的防护机制，还可以更合理地规划后续的维护和支持。

什么是 Google reCAPTCHA v2

reCAPTCHA v2 是 Google 提供的防护系统，用于阻止垃圾信息和其他可能危害网站的自动化操作。它帮助区分真实访客与机器人，从而保持站点安全稳定。

reCAPTCHA V2 示例

reCAPTCHA v2

最经典的勾选式验证码，用户需要勾选“我不是机器人”，有时还会弹出额外题目（例如选择特定图片）。

reCAPTCHA v2 Invisible

不可见版本，自动完成验证，无需用户点击。

reCAPTCHA v2 Enterprise

面向企业的版本，包含更多安全与控制功能。

如何通过 CapMonster Cloud 解决 reCAPTCHA v2

测试包含 reCAPTCHA V2 的表单时，常常需要确认 captcha 是否集成正确并工作正常。

你可以手动验证站点上的 captcha。

打开表单页面，确认 captcha 能够显示。
尝试在不解题的情况下提交——服务器应返回错误。
解题成功后，表单应顺利提交。

若想自动解题，可以使用 CapMonster Cloud 等服务，它会接收验证码参数、在服务器中解析并返回可直接使用的 token。把 token 注入表单即可无需人工操作通过验证。

通过 CapMonster Cloud API 工作的一般流程：

创建任务

此步骤需要提交 API Key、验证码类型和参数，服务会返回唯一的 taskId 供后续查询结果。

发送 API 请求

解决 reCAPTCHA v2 的请求必须包含以下参数：

type - RecaptchaV2Task;

websiteURL - 验证码所在页面地址;

websiteKey - 页面上提供的 sitekey。

关于参数以及如何自动收集，可参阅 CapMonster Cloud 文档。

提交任务的地址：

https://api.capmonster.cloud/createTask

请求示例：

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

响应：

{
  "errorId":0,
  "taskId":407533072
}

获取结果

创建任务后，请定期查询解题状态。

接收结果的地址：

https://api.capmonster.cloud/getTaskResult

请求示例：

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

响应：

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

将 token 应用到页面

返回的 token（即 "gRecaptchaResponse"）可以写入隐藏字段或传递给页面上的 JS 函数以确认结果，之后服务器会接受该表单。若要自动化，可使用 Puppeteer、Selenium、Playwright 模拟用户操作、填入 token 并提交表单。

除了 token，还可以使用点击方式解决。详情请参考 CapMonster Cloud 的文档。

使用现成库解决 reCAPTCHA v2

CapMonster Cloud 提供适用于 Python、JavaScript（Node.js）和 C# 的 SDK，方便快速集成。

Python

JavaScript

解题、插入 token 并提交表单

这是一个 Node.js 示例，涵盖网页端验证码解决的完整流程。你可以通过 HTTP 请求获取 HTML 和参数，发送答案并处理结果；或使用自动化工具（如 Playwright）打开页面、等待验证码、发送参数（可用于正确或错误场景），再通过 CapMonster Cloud 客户端获取结果、把 token 写入表单并查看最终状态。

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // 执行验证码求解
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // 将 token 写入并提交表单（替换为所需选择器）
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('验证码已解决，表单提交成功！');
})();

还可以使用 CapMonster Cloud 浏览器扩展，无需写代码即可在页面上验证验证码行为并实时查看解题进度。已支持 Chrome 与 Firefox。

如何将 reCAPTCHA v2 接入你的网站

想弄清验证码在站点上的运行方式、验证逻辑以及重新部署/配置的步骤，请查看本节内容。我们在此描述了完整的防护部署流程。

1. 前往 reCAPTCHA 管理控制台页面。

2. 注册一个新站点。

选择验证码类型——reCAPTCHA v2（勾选 + 任务或不可见版本）。

HowTo Connect image 1

3. 获取两组密钥：

Site key — 前端使用的公钥；
Secret key — 服务器验证用的私钥。

HowTo Connect image 2

在设置中可指定允许使用 reCAPTCHA 的域名或选择安全级别（从基础到最高）。

4. 客户端代码示例。 带 reCAPTCHA v2 的 HTML 表单（可直接粘贴到页面 body 中）：

包含 reCAPTCHA v2 的 HTML 表单

勾选式 widget：

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

此代码加载 Google reCAPTCHA 库并创建使用 POST 提交的表单。<div class="g-recaptcha" data-sitekey="your_site_key"></div> 会显示带公钥的 reCAPTCHA v2 控件。点击 “Submit” 时，表单会携带 g-recaptcha-response token 发送到服务器。

不可见 reCAPTCHA v2：

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

按钮 <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> 会自动执行不可见验证码、生成 token 并调用 onSubmit。

函数 onSubmit(token) 接收 g-recaptcha-response token 并将表单发往服务器验证。

与勾选式控件不同，用户看不到验证码，验证过程在后台完成。

如需保存 token 或其他数据，可添加 <input type="hidden"> 隐藏字段并通过 JS 发送。详情请参阅官方文档。

5. 在服务器端校验结果。

PHP 示例

检查请求方法并读取数据

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('请求方法不允许');
}

// 获取 reCAPTCHA token
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('验证码未通过');
}

通过 Google 验证 captcha

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>表单发送成功！</h3>";
} else {
    echo "验证过程中出现错误。";
}
?>

可能的错误与调试

站点或密钥无效

验证码未加载或返回 invalid-input-secret。

求解超时

服务器未在规定时间收到答案，请延长等待时间。

空 token

将结果写回页面时出现错误。

Response success=false

token 已过期、被重复使用或被伪造。请开启请求日志并检查 Google 返回的 error-codes 字段。

验证防护的可靠性

集成完成后，务必确认系统确实能够抵御自动化行为。

尝试在未完成验证码的情况下发送请求——服务器应返回 success: false.

使用 k6 或 JMeter 等工具，在每秒超过 100 个请求的情况下进行压力测试——验证码应能正常显示，并且验证系统应保持稳定运行。

检查服务器在令牌过期或重复发送时的响应——预期返回应为 403 Forbidden.

安全与优化建议

仅在服务器端保存 Secret Key，不要将其暴露给客户端。

将验证码校验(siteverify)的结果缓存 30–60 秒——这可以降低负载并加快响应速度。

记录错误代码(error-codes)，以便了解具体校验失败的原因。

在表单底部添加指向隐私政策和Google 使用条款的链接，以满足许可要求。

结论

如果你接手了一个已经集成了验证码或其他防护系统的网站，但又无法访问其代码，也不用担心！要判断实际使用了哪种技术其实并不难。为了核实其是否正常工作，你可以在隔离的测试环境中使用CapMonster Cloud识别服务，确保令牌处理机制和校验逻辑都运行正常。

对于reCAPTCHA V2，只需识别出所用的系统，观察其行为，并确认防护是否正常工作即可。本文演示了如何识别 reCAPTCHA V2，以及到哪里查找其接入或重新配置的说明文档，从而帮助你自信地维护防护方案并掌控其运行情况。

实用链接

reCAPTCHA v2 文档 →CapMonster Cloud 文档（reCAPTCHA v2） →使用 CapMonster Cloud 解 reCAPTCHA v2 →如何在 JavaScript 中借助 Selenium & CapMonster Cloud 解 reCAPTCHA v2 →如何在 Python 中借助 Selenium & CapMonster Cloud 解 reCAPTCHA v2 →如何在 C# 中借助 Selenium & CapMonster Cloud 解 reCAPTCHA v2 →

CapMonster Cloud 浏览器扩展支持 Chrome 与 Firefox。完整的安装与使用说明请见此处。

reCAPTCHA v2 与 CapMonster Cloud

reCAPTCHA v2
与 CapMonster Cloud