Playwright Stealth: עקיפת Bot Detection | scraping.co.il

אז התקנת Playwright. הרצת סקריפט. וקיבלת חסימה.

זה סיפור מוכר. אתה יושב, כותב קוד אלגנטי עם Playwright, מריץ אותו על המחשב שלך והכל עובד כמו קסם. אתה מרגיש מלך העולם. ואז, אתה מעלה את זה לשרת, מריץ בענן, ובום. שגיאת 403. דף CAPTCHA. חסימה מוחלטת. החלום על דאטה נקי ורציף מתנפץ מול חומות ה-bot detection.

מה קרה פה? הדפדפן ש-Playwright מריץ במצב headless צורח "אני רובוט!" במאות דרכים שונות. מערכות הגנה מודרניות, כמו אלה של Cloudflare, PerimeterX או Akamai, מאומנות לזהות את הצעקות האלה ממרחק קילומטרים. הן לא מחפשות רק User-Agent חשוד. הן בודקות הכל.

כאן נכנס לתמונה Playwright Stealth. זה לא פתרון קסם, אבל זה קו ההגנה הראשון וההכרחי ביותר בארסנל שלך. בוא נפרק איך הוא עובד, איפה הוא מצטיין, וחשוב מכך — איפה הוא נכשל ומה עושים כשזה קורה.

מה זה בעצם Playwright Stealth ולמה הוא קריטי?

Playwright Stealth הוא לא חלק רשמי מ-Playwright. הוא פלאגין שפותח על ידי הקהילה (בדרך כלל כחלק מחבילת playwright-extra), והמטרה שלו פשוטה: למחוק את טביעות האצבע הדיגיטליות שמותיר אחריו דפדפן אוטומטי.

תחשוב על זה ככה: דפדפן Chrome רגיל שאתה פותח מגיע עם סט של מאפיינים, הגדרות ו"רעשים" טבעיים. דפדפן headless, לעומת זאת, מגיע "סטרילי". חסרים לו תוספים, הגדרות מסוימות שקופות, והוא מודה בפה מלא שהוא נשלט על ידי תוכנה. Stealth "מלכלך" את הדפדפן הסטרילי הזה כדי שייראה אנושי.

ההתקנה פשוטה להחריד, וזה חלק מהיופי שלה:


npm i playwright-extra playwright-extra-plugin-stealth

והשימוש בקוד נראה ככה:


# הערה: הדוגמה כאן היא לקונספט. בפייתון משתמשים בספריות כמו playwright-stealth
# אבל העיקרון ב-Node.js עם playwright-extra הוא הכי נפוץ:

const { chromium } = require('playwright-extra');
const stealth = require('playwright-extra-plugin-stealth')();

chromium.use(stealth);

(async () => {
  const browser = await chromium.launch({ headless: true });
  const page = await browser.newPage();
  await page.goto('https://bot.sannysoft.com'); // אתר לבדיקת טביעת אצבע
  await page.screenshot({ path: 'stealth.png', fullPage: true });
  await browser.close();
})();

בלי ה-plugin הזה, 90% מהאתרים המודרניים יזהו אותך מיידית. איתו, אתה עובר את קו ההגנה הראשון.

הדגלים הברורים ש-Stealth מסתיר עבורך

מערכות הגנה מתחילות בבדיקות הפשוטות ביותר. Stealth מטפל בהן אוטומטית. הנה רשימה חלקית של הדברים שהוא "מתקן" מאחורי הקלעים:

navigator.webdriver: זה הדגל הבוטה מכולם. בדפדפן אוטומטי, המשתנה הזה ב-JavaScript מחזיר true. בדפדפן רגיל, הוא false או undefined. Stealth דורס את הערך הזה ל-false. זה הדבר הראשון שכל מערכת הגנה בודקת.
Chrome Runtime (window.chrome): לדפדפני headless יש אובייקטים ופונקציות חסרות או שונות תחת האובייקט window.chrome. Stealth מוסיף או משנה אותם כדי שיתאימו לדפדפן רגיל.
Permissions API: שאילתות על הרשאות (כמו מיקרופון או מיקום) מתנהגות אחרת בדפדפן אוטומטי. למשל, בקשה להרשאת התראות תחזיר 'prompt' בדפדפן רגיל ו-'denied' ב-headless. Stealth מנרמל את ההתנהגות הזו.
Plugins Array: לדפדפן רגיל יש רשימה של plugins (כמו מציג PDF מובנה). לדפדפן headless יש רשימה ריקה. Stealth מזייף רשימה שנראית לגיטימית.
WebGL Vendor & Renderer: כרטיס המסך המדווח על ידי WebGL בדפדפן headless הוא לרוב משהו גנרי כמו "Google SwiftShader", צעקה ברורה של וירטואליזציה. Stealth מחליף את זה בערכים שנראים כמו כרטיס מסך אמיתי.

התיקונים האלה לבדם יפתחו לך את הדלת להרבה אתרים. אבל לא לאתרים הרציניים באמת.

טביעת אצבע של דפדפן: המקום שבו הקרב האמיתי מתחיל

אחרי שמערכת ההגנה וידאה שאתה לא מנופף בדגלים הברורים, היא מתחילה לחפור עמוק יותר. היא בונה "טביעת אצבע" (fingerprint) ייחודית של הדפדפן שלך, המורכבת משילוב של עשרות סיגנלים. אם טביעת האצבע הזו תואמת לדפוסים מוכרים של אוטומציה, או שהיא פשוט נדירה מדי, אתה נחסם.

כאן Stealth עדיין עוזר, אבל הוא לא יכול לעשות הכל. הנה כמה מהטכניקות המרכזיות:

Canvas Fingerprinting

השיטה הזו מנחה את הדפדפן לצייר תמונה נסתרת על אלמנט <canvas> עם טקסט וצורות. האופן המדויק שבו התמונה מרונדרת משתנה בין מכונות, דרייברים של כרטיסי מסך ומערכות הפעלה. לאחר הרינדור, האתר מייצא את התמונה ל-hash (מחרוזת טקסט ייחודית). לרוב הדפדפנים האוטומטיים באותה סביבה (למשל, Docker על AWS) יהיה בדיוק את אותו ה-hash — סימן אדום ענק.

טביעות אצבע נוספות (WebGL, Audio, Fonts)

אותו עיקרון של Canvas מיושם במקומות נוספים:

WebGL: רינדור של סצנת תלת-ממד מורכבת וניתוח התוצאה.
AudioContext: עיבוד אות אודיו דיגיטלי וניתוח הפלט.
Fonts: יצירת רשימה של כל הפונטים המותקנים במערכת. שרתים בדרך כלל מגיעים עם סט מצומצם מאוד של פונטים, בניגוד למחשב של משתמש קצה.

פלאגינים של Stealth מנסים להוסיף "רעש" קטן לטביעות האצבע האלה כדי שכל ריצה של הדפדפן תייצר טביעת אצבע מעט שונה, מה שמקשה על הזיהוי כחלק מ"צבא" של בוטים זהים.

זה לא רק הדפדפן, זו הרשת כולה

גם אם הצלחת לזייף דפדפן שנראה אנושי לחלוטין, אתה עדיין עלול להיחסם. למה? כי מערכות הגנה מתוחכמות לא מסתכלות רק על ה-JavaScript. הן בוחנות את תעבורת הרשת עצמה.

TLS Fingerprint (JA3): כשדפדפן מתחבר לאתר מאובטח (HTTPS), הוא שולח חבילת "Client Hello" שמכילה מידע על גרסת ה-TLS, הצפנים הנתמכים, ועוד. הסדר והשילוב של הפרמטרים האלה יוצר טביעת אצבע ייחודית שנקראת JA3. לספריית ה-HTTP של Node.js (שעליה Playwright רץ) יש JA3 שונה לחלוטין מזה של דפדפן Chrome אמיתי. Cloudflare, למשל, בודקת את זה באופן אקטיבי. קשה מאוד לזייף את זה בלי פרוקסי מתוחכם שיודע לשכתב את טביעת האצבע הזו.

TCP/IP Fingerprint: ברמה נמוכה עוד יותר, ניתן לזהות מערכת הפעלה וסוג לקוח לפי מאפיינים של חבילות ה-TCP, כמו גודל חלון (window size) או ערך ה-MTU. רוב הסיכויים שסקריפט שרץ על שרת לינוקס ייראה שונה מאוד ממחשב Windows 10 ביתי.

הנקודה היא זו: אי אפשר להסתמך רק על מה שקורה בתוך הדפדפן. חייבים לחשוב על כל המחסנית.

תרחיש כישלון קלאסי: Stealth נגד Cloudflare Turnstile

בוא נדבר על מקרה שנתקלתי בו אינספור פעמים. לקוח מנסה לעשות scraping לאתר קניות פופולרי שמוגן על ידי הגרסה האחרונה של Cloudflare. הוא התקין playwright-stealth, משתמש ב-User-Agent עדכני, ואפילו קבע viewport שנראה כמו של דפדפן אמיתי.

הוא מריץ את הסקריפט. 10 הבקשות הראשונות עוברות חלק. ואז, בבקשה ה-11, הוא מקבל את דף האתגר של Cloudflare Turnstile, שמחייב אינטראקציה כדי להוכיח שהוא אנושי. תוך 5 דקות, ה-IP שלו נחסם לחלוטין.

מה קרה כאן?

ה-IP שלו היה מ-Data Center (AWS, Google Cloud, וכו'). זה הדגל האדום הגדול ביותר. Cloudflare מזהה את טווח ה-IPs הזה ומעלה את רמת החשד באופן אוטומטי.
ההתנהגות הייתה רובוטית. הוא לחץ על כפתורים מיד כשהם הופיעו ב-DOM, בלי תנועת עכבר מקדימה. הזמן בין פעולה לפעולה היה קבוע מדי (למשל, 2000 מילישניות בדיוק). בני אדם לא מתנהגים ככה.
טביעת האצבע של ה-TLS, כפי שציינו קודם, צרחה "Node.js".

הלקח: Playwright Stealth לבד לא מספיק מול הגנות מודרניות. זהו תנאי הכרחי, אבל בהחלט לא מספיק. אתה חייב לשלב אותו עם אסטרטגיה מקיפה, שכוללת פרוקסים איכותיים והתנהגות אנושית. אם אתה מתמודד עם אתגר כזה, המדריך שלנו על איך לעקוף את Cloudflare הוא נקודת התחלה טובה.

אז מה כן עובד ב-2026? הגישה השלמה

כדי לבנות scraper שעובד באופן עקבי מול אתרים קשים, אתה צריך לשלב שלושה מרכיבים עיקריים:

1. דפדפן מוסווה (Stealth): זה הבסיס. השתמש ב-playwright-extra-plugin-stealth או פתרון דומה. ודא שאתה משתמש בגרסה עדכנית, כי טכניקות הזיהוי משתנות כל הזמן.

2. IP איכותי (Residential Proxy): שכח מ-IPs של דאטה סנטר. אתה צריך להיראות כאילו אתה גולש מרשת ביתית. השתמש ב-Residential Proxies איכותיים, רצוי כאלה שתומכים ב-rotation של כתובות IP בכל בקשה או סשן, כדי לא לשרוף כתובת אחת.

3. התנהגות אנושית (Timing & Interaction):

Viewport נכון: אל תשתמש בברירת המחדל. הגדר רזולוציה פופולרית כמו { width: 1920, height: 1080 }.
תנועות עכבר: לפני שאתה לוחץ על אלמנט עם page.click(), הזז את העכבר אליו בצורה אנושית עם page.mouse.move(). אפשר להוסיף קצת רנדומליות למסלול.
הקלדה אנושית: במקום למלא שדה טקסט מיידית עם page.fill(), השתמש ב-page.type() עם השהייה קטנה ורנדומלית בין כל תו.
השהיות משתנות: אל תחכה זמן קבוע בין פעולות. הוסף השהייה רנדומלית (למשל, בין 500 ל-1500 מילישניות) כדי לדמות זמן חשיבה אנושי.

רק השילוב של שלושת המרכיבים האלה יחד נותן לך סיכוי אמיתי מול המערכות המתקדמות ביותר. כשגם זה לא מספיק, צריך לשקול פתרונות כבדים יותר כמו חוות דפדפנים אמיתיים (Real Browser Farms) או כלים ייעודיים כמו `undetected-chromedriver`, אם כי לכל אחד מהם יש את היתרונות והחסרונות שלו.

שאלות נפוצות

ההבדל העיקרי הוא שפלאגין ה-stealth משנה באופן אקטיבי עשרות מאפיינים של דפדפן ה-headless כדי להסוות את עובדת היותו אוטומטי. בעוד Playwright רגיל מריץ דפדפן שחושף מאפיינים כמו `navigator.webdriver=true` ורשימת פלאгиנים ריקה, ה-stealth plugin דורס את הערכים האלה כדי שייראו זהים לאלו של דפדפן אנושי רגיל. זה כולל זיוף WebGL, תיקון הרשאות, והסתרת מאפייני `window.chrome` שייחודיים למצב headless. ללא stealth, רוב האתרים המודרניים יזהו את הבוט באופן מיידי.

לא, Playwright Stealth לבדו אינו יכול לעקוף אתגרי CAPTCHA אקטיביים כמו reCAPTCHA v2/v3 או Cloudflare Turnstile. מטרת ה-stealth היא למנוע מהאתר להציג את ה-CAPTCHA מלכתחילה על ידי כך שהוא גורם לדפדפן להיראות אנושי. אם רמת החשד של האתר עדיין גבוהה (למשל, בגלל IP של דאטה סנטר או התנהגות רובוטית), אתגר ה-CAPTCHA יוצג בכל מקרה. כדי לפתור CAPTCHA, יש צורך בשירותי פתרון ייעודיים (כמו 2Captcha) או בטכניקות מתקדמות יותר שחורגות מיכולותיו של פלאגין ה-stealth.

כן, ישנה תוספת תקורה (overhead) קטנה בביצועים בעת שימוש ב-Playwright Stealth. הפלאגין מריץ מספר סקריפטים של JavaScript בכל פעם שדף נטען כדי לתקן ולשנות את סביבת הדפדפן. התקורה הזו בדרך כלל זניחה, אולי תוספת של 50-200 מילישניות לטעינת עמוד, ולא אמורה להשפיע משמעותית על רוב משימות ה-scraping. התמורה – שיעורי הצלחה גבוהים משמעותית והימנעות מחסימות – כמעט תמיד מצדיקה את העלות הקטנה הזו בביצועים.

כדאי לשקול פתרון אחר כאשר אתה נתקל בחסימות עקביות גם לאחר יישום מלא של אסטרטגיית stealth: שימוש בפלאגין, פרוקסים איכותיים (Residential), והתנהגות דמוית-אנוש. זה קורה בדרך כלל מול אתרים עם מערכות הגנה מהשורה הראשונה (כמו Akamai או Datadome) שמשתמשות בטביעות אצבע ברמת ה-TLS/TCP. במקרים כאלה, ייתכן שתצטרך לעבור לכלים כמו `undetected-chromedriver` (שמתמודד טוב יותר עם חלק מההגנות), או לשירותי scraping מסחריים המשתמשים בחוות דפדפנים אמיתיים.

ממש לא. שימוש ב-User-Agent עדכני הוא צעד היגייני בסיסי, אבל הוא רחוק מלהיות מספיק. זו הבדיקה הפשוטה ביותר, וכל מערכת bot detection שמכבדת את עצמה התקדמה הרבה מעבר לכך כבר לפני עשור. מערכות מודרניות בונות טביעת אצבע מורכבת מהתנהגות ה-JavaScript, מאפייני ה-Canvas, רשימת הפונטים, טביעת האצבע של ה-TLS ועוד עשרות סיגנלים. הסתמכות על User-Agent בלבד היא כמו לנסות להתחפש על ידי הרכבת משקפי שמש – זה לא באמת מסתיר את הזהות שלך.

Playwright Stealth — איך לעקוף bot detection ב-2026