Прежде чем вы сможете решить задачу Cloudflare Turnstile, вам необходимо обнаружить ее на странице и извлечь ключ сайта. Cloudflare Turnstile можно встроить с помощью атрибутов HTML, вызовов API JavaScript или загрузить динамически после рендеринга страницы. В этом руководстве описаны все методы обнаружения — от простого анализа HTML до анализа JavaScript во время выполнения.
Способы реализации Cloudflare Turnstile
Сайты встраивают Cloudflare Turnstile тремя способами, каждый из которых требует разного подхода к обнаружению:
| Метод | Как это работает | Сложность обнаружения |
|---|---|---|
| HTML неявно | <div class="cf-turnstile" data-sitekey="..."> в исходном коде страницы |
Легко (статический HTML) |
| Явный JavaScript | turnstile.render() вызывается в скрипте |
Средний (парсинг JS) |
| Динамическая загрузка | Виджет загружается после действия пользователя или XHR | Сложный (требуется выполнение JS) |
Способ 1: обнаружение статического HTML
Простейшая интеграция Cloudflare Turnstile использует класс cf-turnstile и атрибут data-sitekey:
import re
import requests
def detect_turnstile_html(url):
"""Detect Turnstile from static HTML."""
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
"AppleWebKit/537.36 Chrome/120.0.0.0",
"Accept": "text/html,*/*;q=0.8",
"Accept-Language": "en-US,en;q=0.9",
}
response = requests.get(url, headers=headers, timeout=15)
html = response.text
result = {
"turnstile_found": False,
"sitekey": None,
"mode": None,
"theme": None,
"action": None,
"script_loaded": False,
}
# Check for Turnstile script
if "challenges.cloudflare.com/turnstile" in html:
result["script_loaded"] = True
# Check for widget container
if "cf-turnstile" in html:
result["turnstile_found"] = True
# Extract sitekey
sitekey_match = re.search(
r'data-sitekey=["\']([0-9x][A-Za-z0-9_-]+)["\']', html
)
if sitekey_match:
result["sitekey"] = sitekey_match.group(1)
# Extract mode
if 'data-size="invisible"' in html:
result["mode"] = "invisible"
elif 'data-appearance="interaction-only"' in html:
result["mode"] = "non-interactive"
else:
result["mode"] = "managed"
# Extract theme
theme_match = re.search(r'data-theme=["\'](\w+)["\']', html)
if theme_match:
result["theme"] = theme_match.group(1)
# Extract action
action_match = re.search(r'data-action=["\']([^"\']+)["\']', html)
if action_match:
result["action"] = action_match.group(1)
return result
# Usage
info = detect_turnstile_html("https://https://staging.example.com/qa-login")
if info["turnstile_found"]:
print(f"Sitekey: {info['sitekey']}")
print(f"Mode: {info['mode']}")
Способ 2: обнаружение API JavaScript
Некоторые сайты используют turnstile.render() вместо атрибутов HTML:
import re
def detect_turnstile_js_api(html):
"""Detect Turnstile from JavaScript render calls."""
patterns = [
# turnstile.render('#element', {sitekey: '...'})
r"turnstile\.render\s*\(\s*['\"]([^'\"]+)['\"]\s*,\s*\{([^}]+)\}",
# turnstile.render(element, {sitekey: '...'})
r"turnstile\.render\s*\([^,]+,\s*\{([^}]+)\}",
]
for pattern in patterns:
match = re.search(pattern, html, re.DOTALL)
if match:
config_text = match.group(match.lastindex)
# Extract sitekey from config object
sitekey_match = re.search(
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]", config_text
)
# Extract callback
callback_match = re.search(
r"callback\s*:\s*(\w+|function)", config_text
)
# Extract action
action_match = re.search(
r"action\s*:\s*['\"]([^'\"]+)['\"]", config_text
)
# Extract appearance
appearance_match = re.search(
r"appearance\s*:\s*['\"]([^'\"]+)['\"]", config_text
)
return {
"found": True,
"method": "javascript_api",
"sitekey": sitekey_match.group(1) if sitekey_match else None,
"callback": callback_match.group(1) if callback_match else None,
"action": action_match.group(1) if action_match else None,
"appearance": appearance_match.group(1) if appearance_match else None,
}
return {"found": False, "method": None}
Способ 3: обнаружение динамической загрузки (Selenium/Puppeteer)
Когда Cloudflare Turnstile загружается динамически после взаимодействия со страницей:
Питон (селен)
from selenium import webdriver
from selenium.webdriver.common.by import By
from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC
import re
def detect_turnstile_dynamic(url):
"""Detect dynamically loaded Turnstile using Selenium."""
options = webdriver.ChromeOptions()
options.add_argument("--disable-blink-features=AutomationControlled")
driver = webdriver.Chrome(options=options)
try:
driver.get(url)
# Wait for page to fully load
WebDriverWait(driver, 10).until(
lambda d: d.execute_script("return document.readyState") == "complete"
)
result = {
"turnstile_found": False,
"sitekey": None,
"iframe_present": False,
"response_field": False,
}
# Check for Turnstile iframe
iframes = driver.find_elements(By.CSS_SELECTOR, "iframe[src*='challenges.cloudflare.com']")
if iframes:
result["turnstile_found"] = True
result["iframe_present"] = True
# Check for cf-turnstile container
containers = driver.find_elements(By.CSS_SELECTOR, ".cf-turnstile, [data-sitekey]")
for container in containers:
sitekey = container.get_attribute("data-sitekey")
if sitekey:
result["turnstile_found"] = True
result["sitekey"] = sitekey
# Check for hidden response field
response_fields = driver.find_elements(
By.CSS_SELECTOR, "[name='cf-turnstile-response'], [name='g-recaptcha-response']"
)
if response_fields:
result["response_field"] = True
# Check page source for JS API render
page_source = driver.page_source
js_match = re.search(
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]", page_source
)
if js_match and not result["sitekey"]:
result["sitekey"] = js_match.group(1)
result["turnstile_found"] = True
return result
finally:
driver.quit()
Node.js (Puppeteer)
const puppeteer = require("puppeteer");
async function detectTurnstileDynamic(url) {
const browser = await puppeteer.launch({
headless: "new",
args: ["--disable-blink-features=AutomationControlled"],
});
const page = await browser.newPage();
const result = {
turnstileFound: false,
sitekey: null,
iframePresent: false,
responseField: false,
scriptUrl: null,
};
// Monitor network for Turnstile script
page.on("response", (response) => {
if (response.url().includes("challenges.cloudflare.com/turnstile")) {
result.scriptUrl = response.url();
}
});
await page.goto(url, { waitUntil: "networkidle2" });
// Check for Turnstile container
const sitekey = await page.evaluate(() => {
const el = document.querySelector(
".cf-turnstile, [data-sitekey]"
);
return el ? el.getAttribute("data-sitekey") : null;
});
if (sitekey) {
result.turnstileFound = true;
result.sitekey = sitekey;
}
// Check for Turnstile iframe
const iframes = await page.$$("iframe[src*='challenges.cloudflare.com']");
if (iframes.length > 0) {
result.turnstileFound = true;
result.iframePresent = true;
}
// Check for response field
const responseField = await page.$(
"[name='cf-turnstile-response']"
);
result.responseField = !!responseField;
await browser.close();
return result;
}
detectTurnstileDynamic("https://https://staging.example.com/qa-login").then(console.log);
Комплексный класс обнаружения
import re
import requests
class TurnstileDetector:
"""Detect Cloudflare Turnstile across all implementation methods."""
TURNSTILE_SCRIPT = "challenges.cloudflare.com/turnstile"
SITEKEY_PATTERNS = [
r'data-sitekey=["\']([0-9x][A-Za-z0-9_-]+)["\']',
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
r"siteKey\s*[=:]\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
r"TURNSTILE_SITE_KEY\s*[=:]\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
]
def __init__(self, url, html=None):
self.url = url
self.html = html
if not self.html:
self._fetch()
def _fetch(self):
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
"AppleWebKit/537.36 Chrome/120.0.0.0",
"Accept": "text/html,*/*;q=0.8",
"Accept-Language": "en-US,en;q=0.9",
}
response = requests.get(self.url, headers=headers, timeout=15)
self.html = response.text
def detect(self):
"""Run all detection methods and return results."""
return {
"url": self.url,
"turnstile_present": self.has_turnstile(),
"sitekey": self.extract_sitekey(),
"mode": self.detect_mode(),
"implementation": self.detect_implementation(),
"script_loaded": self.has_script(),
"response_field": self.has_response_field(),
"action": self.extract_action(),
"theme": self.extract_theme(),
}
def has_turnstile(self):
return (
self.has_script()
or "cf-turnstile" in self.html
or self.extract_sitekey() is not None
)
def has_script(self):
return self.TURNSTILE_SCRIPT in self.html
def has_response_field(self):
return "cf-turnstile-response" in self.html
def extract_sitekey(self):
for pattern in self.SITEKEY_PATTERNS:
match = re.search(pattern, self.html)
if match:
return match.group(1)
return None
def detect_mode(self):
if 'data-size="invisible"' in self.html or "size: 'invisible'" in self.html:
return "invisible"
if 'data-appearance="interaction-only"' in self.html:
return "non-interactive"
if "cf-turnstile" in self.html:
return "managed"
return "unknown"
def detect_implementation(self):
if "cf-turnstile" in self.html and re.search(r"data-sitekey=", self.html):
return "html_implicit"
if "turnstile.render" in self.html:
return "javascript_explicit"
if self.has_script() and not "cf-turnstile" in self.html:
return "dynamic_loading"
return "unknown"
def extract_action(self):
match = re.search(r'data-action=["\']([^"\']+)["\']', self.html)
if match:
return match.group(1)
match = re.search(r"action\s*:\s*['\"]([^'\"]+)['\"]", self.html)
return match.group(1) if match else None
def extract_theme(self):
match = re.search(r'data-theme=["\'](\w+)["\']', self.html)
return match.group(1) if match else "auto"
# Usage
detector = TurnstileDetector("https://https://staging.example.com/qa-login")
info = detector.detect()
if info["turnstile_present"]:
print(f"Sitekey: {info['sitekey']}")
print(f"Mode: {info['mode']}")
print(f"Implementation: {info['implementation']}")
Решение после обнаружения
После обнаружения решите с помощью CaptchaAI:
import requests
import time
API_KEY = "YOUR_API_KEY"
def solve_detected_turnstile(detection_result):
"""Solve Turnstile using detection results."""
if not detection_result["turnstile_present"]:
raise ValueError("No Turnstile detected")
if not detection_result["sitekey"]:
raise ValueError("Sitekey not found — may need browser-based extraction")
params = {
"key": API_KEY,
"method": "turnstile",
"sitekey": detection_result["sitekey"],
"pageurl": detection_result["url"],
"json": 1,
}
# Include action if present
if detection_result.get("action"):
params["action"] = detection_result["action"]
submit = requests.post("https://ocr.captchaai.com/in.php", data=params)
task_id = submit.json()["request"]
for _ in range(60):
time.sleep(5)
result = requests.get("https://ocr.captchaai.com/res.php", params={
"key": API_KEY,
"action": "get",
"id": task_id,
"json": 1,
}).json()
if result.get("status") == 1:
return result["request"]
raise TimeoutError("Turnstile solve timed out")
# Full workflow
detector = TurnstileDetector("https://example.com/signup")
info = detector.detect()
if info["turnstile_present"]:
token = solve_detected_turnstile(info)
print(f"Token: {token[:50]}...")
Краевые случаи
| Сценарий | Испытание | Решение |
|---|---|---|
| Sitekey во внешнем файле JS | Нет на странице HTML | Анализ связанных файлов JavaScript на наличие шаблонов ключей сайта. |
| Sitekey из ответа API | Загружается после вызова XHR | Отслеживайте сетевые запросы на получение ключа сайта в ответах JSON. |
| Несколько виджетов Cloudflare Turnstile | Разные ключи сайта на одной странице | Сопоставьте ключ сайта с конкретной формой, которую вы отправляете. |
| Cloudflare Turnstile в тени DOM | Недоступно через обычные селекторы. | Используйте shadowRoot.querySelector в контексте браузера. |
| Ключ сайта, отображаемый на стороне сервера | Встроено в переменные шаблона | Проверьте теги <script> на наличие объектов конфигурации. |
| Cloudflare Turnstile за аутентификацией | Не отображается на общедоступной странице | Сначала аутентифицируйте, а затем обнаруживайте |
Поиск неисправностей
| Симптом | Причина | Исправить |
|---|---|---|
| Тег скрипта найден, но нет ключа сайта | Рендеринг JS API с конфигурацией из другого источника | Проверьте все связанные файлы JS и ответы XHR. |
| Извлечен неправильный ключ сайта. | Несколько виджетов CAPTCHA на странице | Сопоставление ключей сайта с окружающими элементами формы |
| Обнаружение работает, но решение не удается | Параметр действия, необходимый для проверки | Включить значение data-action в запрос на решение |
| Виджет отсутствует в исходном HTML | Динамическая загрузка после взаимодействия с пользователем | Используйте Selenium/Puppeteer для полностраничного рендеринга. |
Поле cf-turnstile-response пусто |
Виджет еще не завершен | Подождите, пока виджет завершит загрузку |
Часто задаваемые вопросы
Могут ли измениться ключи Cloudflare Turnstile?
Да. Операторы сайта могут менять ключи сайта в любое время. Всегда извлекайте ключ сайта из страницы, а не жестко его кодируйте.
Нужен ли мне параметр действия?
Только если сайт проверяет это на стороне сервера. Если data-action присутствует в HTML, включите его в свой запрос на решение для достижения наилучших результатов.
Что делать, если я не могу найти ключ сайта?
Ключ сайта может находиться во внешнем файле JavaScript, в ответе API или генерироваться динамически. Используйте DevTools браузера (вкладка «Сеть»), чтобы найти его, или используйте Selenium/Puppeteer, чтобы извлечь его после полной отрисовки страницы.
Влияет ли метод обнаружения на решение?
Нет. Решатель Cloudflare Turnstile CaptchaAI работает одинаково независимо от того, как был реализован виджет. Вам просто нужен ключ сайта и URL-адрес страницы.
Краткое содержание
Для обнаружения Cloudflare Turnstile требуется проверка тега сценария Turnstile, контейнера cf-turnstile, атрибутов data-sitekey и вызовов turnstile.render(). Используйте статический анализ HTML для простой интеграции и Selenium/Puppeteer для динамически загружаемых виджетов. После обнаружения решите с помощьюРешатель Cloudflare Turnstile CaptchaAIс использованием извлеченного ключа сайта — все режимы обрабатываются одинаково со 100% вероятностью успеха.
