Avant de pouvoir résoudre un défi Cloudflare Turnstile, vous devez le détecter sur la page et extraire la clé du site. Turnstile peut être intégré via des attributs HTML, des appels d'API JavaScript ou chargé dynamiquement après le rendu de la page. Ce guide couvre toutes les méthodes de détection, de la simple analyse HTML à l'analyse JavaScript d'exécution.
Méthodes de mise en œuvre des tourniquets
Les sites intègrent Turnstile de trois manières, chacune nécessitant une approche de détection différente :
| Méthode | Comment ça marche | Difficulté de détection |
|---|---|---|
| HTML implicite | <div class="cf-turnstile" data-sitekey="..."> dans la source de la page |
Facile (HTML statique) |
| JavaScript explicite | turnstile.render() appelé dans le script |
Moyen (analyser JS) |
| Chargement dynamique | Widget chargé après l'action de l'utilisateur ou XHR | Difficile (nécessite l'exécution de JS) |
Méthode 1 : Détection HTML statique
L'intégration Turnstile la plus simple utilise la classe cf-turnstile et l'attribut data-sitekey :
import re
import requests
def detect_turnstile_html(url):
"""Detect Turnstile from static HTML."""
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
"AppleWebKit/537.36 Chrome/120.0.0.0",
"Accept": "text/html,*/*;q=0.8",
"Accept-Language": "en-US,en;q=0.9",
}
response = requests.get(url, headers=headers, timeout=15)
html = response.text
result = {
"turnstile_found": False,
"sitekey": None,
"mode": None,
"theme": None,
"action": None,
"script_loaded": False,
}
# Check for Turnstile script
if "challenges.cloudflare.com/turnstile" in html:
result["script_loaded"] = True
# Check for widget container
if "cf-turnstile" in html:
result["turnstile_found"] = True
# Extract sitekey
sitekey_match = re.search(
r'data-sitekey=["\']([0-9x][A-Za-z0-9_-]+)["\']', html
)
if sitekey_match:
result["sitekey"] = sitekey_match.group(1)
# Extract mode
if 'data-size="invisible"' in html:
result["mode"] = "invisible"
elif 'data-appearance="interaction-only"' in html:
result["mode"] = "non-interactive"
else:
result["mode"] = "managed"
# Extract theme
theme_match = re.search(r'data-theme=["\'](\w+)["\']', html)
if theme_match:
result["theme"] = theme_match.group(1)
# Extract action
action_match = re.search(r'data-action=["\']([^"\']+)["\']', html)
if action_match:
result["action"] = action_match.group(1)
return result
# Usage
info = detect_turnstile_html("https://example.com/login")
if info["turnstile_found"]:
print(f"Sitekey: {info['sitekey']}")
print(f"Mode: {info['mode']}")
Méthode 2 : détection de l'API JavaScript
Certains sites utilisent turnstile.render() à la place des attributs HTML :
import re
def detect_turnstile_js_api(html):
"""Detect Turnstile from JavaScript render calls."""
patterns = [
# turnstile.render('#element', {sitekey: '...'})
r"turnstile\.render\s*\(\s*['\"]([^'\"]+)['\"]\s*,\s*\{([^}]+)\}",
# turnstile.render(element, {sitekey: '...'})
r"turnstile\.render\s*\([^,]+,\s*\{([^}]+)\}",
]
for pattern in patterns:
match = re.search(pattern, html, re.DOTALL)
if match:
config_text = match.group(match.lastindex)
# Extract sitekey from config object
sitekey_match = re.search(
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]", config_text
)
# Extract callback
callback_match = re.search(
r"callback\s*:\s*(\w+|function)", config_text
)
# Extract action
action_match = re.search(
r"action\s*:\s*['\"]([^'\"]+)['\"]", config_text
)
# Extract appearance
appearance_match = re.search(
r"appearance\s*:\s*['\"]([^'\"]+)['\"]", config_text
)
return {
"found": True,
"method": "javascript_api",
"sitekey": sitekey_match.group(1) if sitekey_match else None,
"callback": callback_match.group(1) if callback_match else None,
"action": action_match.group(1) if action_match else None,
"appearance": appearance_match.group(1) if appearance_match else None,
}
return {"found": False, "method": None}
Méthode 3 : Détection de chargement dynamique (Selenium/Puppeteer)
Lorsque Turnstile se charge dynamiquement après une interaction avec la page :
Python (sélénium)
from selenium import webdriver
from selenium.webdriver.common.by import By
from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC
import re
def detect_turnstile_dynamic(url):
"""Detect dynamically loaded Turnstile using Selenium."""
options = webdriver.ChromeOptions()
options.add_argument("--disable-blink-features=AutomationControlled")
driver = webdriver.Chrome(options=options)
try:
driver.get(url)
# Wait for page to fully load
WebDriverWait(driver, 10).until(
lambda d: d.execute_script("return document.readyState") == "complete"
)
result = {
"turnstile_found": False,
"sitekey": None,
"iframe_present": False,
"response_field": False,
}
# Check for Turnstile iframe
iframes = driver.find_elements(By.CSS_SELECTOR, "iframe[src*='challenges.cloudflare.com']")
if iframes:
result["turnstile_found"] = True
result["iframe_present"] = True
# Check for cf-turnstile container
containers = driver.find_elements(By.CSS_SELECTOR, ".cf-turnstile, [data-sitekey]")
for container in containers:
sitekey = container.get_attribute("data-sitekey")
if sitekey:
result["turnstile_found"] = True
result["sitekey"] = sitekey
# Check for hidden response field
response_fields = driver.find_elements(
By.CSS_SELECTOR, "[name='cf-turnstile-response'], [name='g-recaptcha-response']"
)
if response_fields:
result["response_field"] = True
# Check page source for JS API render
page_source = driver.page_source
js_match = re.search(
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]", page_source
)
if js_match and not result["sitekey"]:
result["sitekey"] = js_match.group(1)
result["turnstile_found"] = True
return result
finally:
driver.quit()
Node.js (Marionnette)
const puppeteer = require("puppeteer");
async function detectTurnstileDynamic(url) {
const browser = await puppeteer.launch({
headless: "new",
args: ["--disable-blink-features=AutomationControlled"],
});
const page = await browser.newPage();
const result = {
turnstileFound: false,
sitekey: null,
iframePresent: false,
responseField: false,
scriptUrl: null,
};
// Monitor network for Turnstile script
page.on("response", (response) => {
if (response.url().includes("challenges.cloudflare.com/turnstile")) {
result.scriptUrl = response.url();
}
});
await page.goto(url, { waitUntil: "networkidle2" });
// Check for Turnstile container
const sitekey = await page.evaluate(() => {
const el = document.querySelector(
".cf-turnstile, [data-sitekey]"
);
return el ? el.getAttribute("data-sitekey") : null;
});
if (sitekey) {
result.turnstileFound = true;
result.sitekey = sitekey;
}
// Check for Turnstile iframe
const iframes = await page.$$("iframe[src*='challenges.cloudflare.com']");
if (iframes.length > 0) {
result.turnstileFound = true;
result.iframePresent = true;
}
// Check for response field
const responseField = await page.$(
"[name='cf-turnstile-response']"
);
result.responseField = !!responseField;
await browser.close();
return result;
}
detectTurnstileDynamic("https://example.com/login").then(console.log);
Classe de détection complète
import re
import requests
class TurnstileDetector:
"""Detect Cloudflare Turnstile across all implementation methods."""
TURNSTILE_SCRIPT = "challenges.cloudflare.com/turnstile"
SITEKEY_PATTERNS = [
r'data-sitekey=["\']([0-9x][A-Za-z0-9_-]+)["\']',
r"sitekey\s*:\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
r"siteKey\s*[=:]\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
r"TURNSTILE_SITE_KEY\s*[=:]\s*['\"]([0-9x][A-Za-z0-9_-]+)['\"]",
]
def __init__(self, url, html=None):
self.url = url
self.html = html
if not self.html:
self._fetch()
def _fetch(self):
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
"AppleWebKit/537.36 Chrome/120.0.0.0",
"Accept": "text/html,*/*;q=0.8",
"Accept-Language": "en-US,en;q=0.9",
}
response = requests.get(self.url, headers=headers, timeout=15)
self.html = response.text
def detect(self):
"""Run all detection methods and return results."""
return {
"url": self.url,
"turnstile_present": self.has_turnstile(),
"sitekey": self.extract_sitekey(),
"mode": self.detect_mode(),
"implementation": self.detect_implementation(),
"script_loaded": self.has_script(),
"response_field": self.has_response_field(),
"action": self.extract_action(),
"theme": self.extract_theme(),
}
def has_turnstile(self):
return (
self.has_script()
or "cf-turnstile" in self.html
or self.extract_sitekey() is not None
)
def has_script(self):
return self.TURNSTILE_SCRIPT in self.html
def has_response_field(self):
return "cf-turnstile-response" in self.html
def extract_sitekey(self):
for pattern in self.SITEKEY_PATTERNS:
match = re.search(pattern, self.html)
if match:
return match.group(1)
return None
def detect_mode(self):
if 'data-size="invisible"' in self.html or "size: 'invisible'" in self.html:
return "invisible"
if 'data-appearance="interaction-only"' in self.html:
return "non-interactive"
if "cf-turnstile" in self.html:
return "managed"
return "unknown"
def detect_implementation(self):
if "cf-turnstile" in self.html and re.search(r"data-sitekey=", self.html):
return "html_implicit"
if "turnstile.render" in self.html:
return "javascript_explicit"
if self.has_script() and not "cf-turnstile" in self.html:
return "dynamic_loading"
return "unknown"
def extract_action(self):
match = re.search(r'data-action=["\']([^"\']+)["\']', self.html)
if match:
return match.group(1)
match = re.search(r"action\s*:\s*['\"]([^'\"]+)['\"]", self.html)
return match.group(1) if match else None
def extract_theme(self):
match = re.search(r'data-theme=["\'](\w+)["\']', self.html)
return match.group(1) if match else "auto"
# Usage
detector = TurnstileDetector("https://example.com/login")
info = detector.detect()
if info["turnstile_present"]:
print(f"Sitekey: {info['sitekey']}")
print(f"Mode: {info['mode']}")
print(f"Implementation: {info['implementation']}")
Résolution après détection
Une fois détecté, résolvez avec CaptchaAI :
import requests
import time
API_KEY = "YOUR_API_KEY"
def solve_detected_turnstile(detection_result):
"""Solve Turnstile using detection results."""
if not detection_result["turnstile_present"]:
raise ValueError("No Turnstile detected")
if not detection_result["sitekey"]:
raise ValueError("Sitekey not found — may need browser-based extraction")
params = {
"key": API_KEY,
"method": "turnstile",
"sitekey": detection_result["sitekey"],
"pageurl": detection_result["url"],
"json": 1,
}
# Include action if present
if detection_result.get("action"):
params["action"] = detection_result["action"]
submit = requests.post("https://ocr.captchaai.com/in.php", data=params)
task_id = submit.json()["request"]
for _ in range(60):
time.sleep(5)
result = requests.get("https://ocr.captchaai.com/res.php", params={
"key": API_KEY,
"action": "get",
"id": task_id,
"json": 1,
}).json()
if result.get("status") == 1:
return result["request"]
raise TimeoutError("Turnstile solve timed out")
# Full workflow
detector = TurnstileDetector("https://example.com/signup")
info = detector.detect()
if info["turnstile_present"]:
token = solve_detected_turnstile(info)
print(f"Token: {token[:50]}...")
Cas extrêmes
| Scénario | Défi | Solution |
|---|---|---|
| Sitekey dans le fichier JS externe | Pas dans la page HTML | Analyser les fichiers JavaScript liés pour les modèles de clé de site |
| Clé de site de la réponse de l'API | Chargé après l'appel XHR | Surveiller les requêtes réseau pour la clé de site dans les réponses JSON |
| Plusieurs widgets tourniquets | Différentes clés de site sur la même page | Faites correspondre la clé du site au formulaire spécifique que vous soumettez |
| Tourniquet dans l'ombre DOM | Non accessible via les sélecteurs réguliers | Utiliser shadowRoot.querySelector dans le contexte du navigateur |
| Clé de site rendue côté serveur | Incorporé dans les variables du modèle | Vérifiez les balises <script> pour les objets de configuration |
| Tourniquet derrière l'authentification | Non visible sur la page publique | Authentifiez-vous d’abord, puis détectez |
Dépannage
| Symptôme | Parce que | Corriger |
|---|---|---|
| Balise de script trouvée mais pas de clé de site | Rendu de l'API JS avec la configuration d'une autre source | Vérifiez tous les fichiers JS liés et les réponses XHR |
| Mauvaise clé de site extraite | Plusieurs widgets CAPTCHA sur la page | Faites correspondre les clés de site aux éléments de formulaire environnants |
| La détection fonctionne mais la résolution échoue | Paramètre d'action requis pour la validation | Inclure la valeur data-action dans la demande de résolution |
| Le widget n'est pas dans le HTML initial | Chargement dynamique après interaction de l'utilisateur | Utilisez Selenium/Puppeteer pour le rendu pleine page |
Champ cf-turnstile-response vide |
Le widget n'est pas encore terminé | Attendez que le widget termine le chargement |
Questions fréquemment posées
Les clés de site Turnstile peuvent-elles changer ?
Oui. Les opérateurs de site peuvent alterner les clés de site à tout moment. Extrayez toujours la clé de site fraîchement extraite de la page plutôt que de la coder en dur.
Ai-je besoin du paramètre action ?
Uniquement si le site le valide côté serveur. Si data-action est présent dans le code HTML, incluez-le dans votre demande de résolution pour obtenir de meilleurs résultats.
Que faire si je ne trouve pas la clé du site ?
La clé de site peut se trouver dans un fichier JavaScript externe, dans une réponse API ou être générée dynamiquement. Utilisez les DevTools du navigateur (onglet Réseau) pour le trouver, ou utilisez Selenium/Puppeteer pour l'extraire après le rendu de la page entière.
La méthode de détection affecte-t-elle la résolution ?
Non. Le solveur Turnstile de CaptchaAI fonctionne de la même manière, quelle que soit la façon dont le widget a été implémenté. Vous avez juste besoin de la clé du site et de l'URL de la page.
Résumé
La détection de Cloudflare Turnstile nécessite la vérification de la balise de script Turnstile, du conteneur cf-turnstile, des attributs data-sitekey et des appels turnstile.render(). Utilisez l'analyse HTML statique pour des intégrations simples et Selenium/Puppeteer pour les widgets chargés dynamiquement. Une fois détecté, résolvez avecSolveur de tourniquet de CaptchaAIen utilisant la clé de site extraite — tous les modes sont gérés de la même manière avec un taux de réussite de 100 %.
