Cap

Cap is een open-source CAPTCHA-alternatief dat webformulieren en API's beschermt tegen geautomatiseerde bots door middel van proof-of-work-berekeningen in plaats van visuele puzzels. Cap is gebouwd als een privacy-gerichte vervanging voor diensten zoals Google reCAPTCHA, hCaptcha en Cloudflare Turnstile, en voert een stille SHA-256-uitdaging uit in WebAssembly, direct in de browser van de gebruiker. Echte gebruikers lossen de uitdaging in milliseconden op zonder het te merken; bots worden geconfronteerd met computationele kosten die massale inzendingen economisch onhaalbaar maken. Er worden geen cookies ingesteld, geen gedragsgegevens bijgehouden en alle verificatie vindt plaats op je eigen infrastructuur.

Veelvoorkomende gebruiksscenario's

Ontwikkelaars die gebruikersregistratie- en inlogformulieren beschermen, vervangen reCAPTCHA door Cap om de privacyproblemen en afhankelijkheid van derden die gepaard gaan met de service van Google te elimineren. Contactformulieren en commentaarsecties op zelf-gehoste websites gebruiken Cap om spaminzendingen te blokkeren zonder de gebruikerservaring te verslechteren met afbeeldingspuzzels of toegankelijkheidsbarrières. API-eindpunten die openbare invoer accepteren — feedbackformulieren, stem-eindpunten, openbare gegevensinzendingen — voegen Cap-tokenverificatie toe om geautomatiseerd misbruik te voorkomen zonder extra kosten per verzoek. Organisaties die onder de AVG of andere privacyregelgeving vallen, gebruiken Cap omdat het geen gebruikersconsentbanner vereist: er zijn geen gedragsgegevens te verzamelen of toestemming te verkrijgen. SaaS-ontwikkelaars die multi-tenant producten bouwen, integreren Cap op meerdere clientsites met behulp van afzonderlijke site-sleutels, elk met onafhankelijke analyses. Teams die interne tools bouwen, hosten Cap zelf op een VPS naast hun applicaties, waardoor alle bot-beschermingsinfrastructuur binnen hun eigen netwerkperimeter blijft en buiten externe controle valt.

Belangrijkste kenmerken

• Proof-of-work-uitdagingen: SHA-256-berekening draait in WebAssembly in de browser, onzichtbaar voor echte gebruikers en kostbaar genoeg om bots af te schrikken zonder ze volledig te blokkeren.
• Geen cookies en tracking: Er worden geen cookies ingesteld, er vindt geen fingerprinting plaats en er worden geen gegevens naar een externe server verzonden — AVG-conform zonder toestemmingsprompt vereist.
• 20KB client-widget: De inbedbare JavaScript-widget is lichtgewicht en heeft geen externe afhankelijkheden, wat minimale overhead toevoegt aan elke pagina.
• REST-verificatie-API: Eén enkele HTTP POST naar je Cap-instantie verifieert een uitdagingstoken vanuit elke backend-taal of -framework.
• Admin-dashboard: Bekijk de slagingspercentages van uitdagingen per site, foutstatistieken en gebruiksanalyses; beheer site-sleutels en roteer geheimen zonder de service opnieuw op te starten.
• Valkey-persistentie: De uitdagingsstatus wordt opgeslagen in een Valkey-instantie met schijfpersistentie, zodat uitgegeven tokens containerherstarts overleven.
• Multi-site-ondersteuning: Maak afzonderlijke site-sleutels aan voor meerdere domeinen of projecten, elk met onafhankelijke uitdagingsanalyses en gebruiksstatistieken die worden bijgehouden in het admin-paneel.

Waarom Cap implementeren op Hostinger VPS

Cap draaien op een Hostinger VPS betekent dat je botbeveiliging nooit afhankelijk is van Google, Cloudflare of een andere dienst van derden die zijn prijzen of voorwaarden zou kunnen wijzigen. Verificatielatentie wordt bepaald door je VPS-locatie in plaats van een externe API, waardoor responstijden voorspelbaar blijven voor zowel gebruikers als je backend. Er zijn geen kosten per verificatie — één vaste VPS-kosten dekt onbeperkte uitdagingen voor al je sites en applicaties. Omdat Cap stateless is, behalve voor zijn Valkey-opslag, draait het efficiënt op de kleinste VPS-abonnementen en kan het tientallen sites tegelijkertijd beschermen zonder merkbaar resourcegebruik.