Tiện ích mở rộng cho trình duyệt

Cho doanh nghiệp

Giá cả

Blog

Tài liệu

Tiếng Việt

Cloudflare Challenge
và CapMonster Cloud

Giải captcha, cài đặt trên trang web và kiểm tra.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng Cloudflare Challenge, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống Cloudflare Challenge để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

Cloudflare Challenge là gì

Cloudflare Challenge (hoặc Interstitial Challenge Pages) là một hệ thống xác minh của Cloudflare, được thiết kế để bảo vệ các trang web khỏi bot, spam và lưu lượng độc hại. Khi Cloudflare nghi ngờ rằng yêu cầu không đến từ người dùng thực (ví dụ: IP đáng ngờ hoặc thiếu JavaScript), nó sẽ hiển thị Challenge — tức là một 'thử thách' mà người dùng phải hoàn thành để xác nhận mình là con người. Loại xác minh này khác với Turnstile, vì người dùng trước tiên sẽ thấy một trang trung gian với thông báo “Just a moment…” và “Verifying you are human. This may take a few seconds.”

Cách giải Cloudflare Challenge bằng CapMonster Cloud

Khi kiểm tra lớp bảo vệ với Cloudflare Challenge, điều quan trọng là đảm bảo quá trình xác minh hoạt động đúng và loại bỏ đúng lưu lượng đáng ngờ.

Bạn có thể kiểm tra challenge đã cài đặt trên trang của mình thủ công:

Mở trang web ở chế độ ẩn danh nơi Challenge dự kiến xuất hiện và đảm bảo captcha hiển thị.
Thử đặt cookie cf_clearance sai trong trình duyệt (xem thông tin chi tiết bên dưới) — server sẽ trả về lỗi.
Sau khi giải captcha thành công, trang web thực tế sẽ mở ra mà không cần xác minh.

Để kiểm tra tự động và nhận diện captcha, bạn có thể sử dụng các dịch vụ chuyên dụng như CapMonster Cloud — công cụ này nhận các tham số captcha, xử lý trên server và trả về giải pháp sẵn sàng. Giải pháp này (token hoặc cookie) có thể được chèn vào form hoặc trình duyệt để vượt qua xác minh mà không cần người dùng tham gia.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở bước này, bạn cung cấp API key, loại captcha và các tham số. Dịch vụ trả về taskId duy nhất, dùng để lấy kết quả sau này.

Gửi yêu cầu API

Trong yêu cầu để giải quyết Cloudflare Challenge, cần chỉ định các tham số sau:

type - TurnstileTask

websiteURL - Địa chỉ trang web nơi captcha được giải

websiteKey - Khóa Turnstile (có thể truyền bất kỳ chuỗi nào)

cloudflareTaskType - cf_clearance

htmlPageBase64 - Trang HTML “Just a moment” được mã hóa Base64, được trả về với mã 403 khi truy cập vào một trang web có lớp bảo vệ này.

userAgent - User-Agent của trình duyệt. Chỉ truyền UA hiện tại từ Windows.

Đối với nhiệm vụ này, bạn cũng cần sử dụng proxy của mình:

proxyType :

http - proxy HTTP/HTTPS thông thường;
https - thử nếu 'http' không hoạt động (cần thiết cho một số proxy tùy chỉnh);
socks4 - proxy loại SOCKS4;
socks5 - proxy loại SOCKS5.

proxyAddress - Địa chỉ IP proxy IPv4/IPv6.

proxyPort - Cổng proxy.

proxyLogin - Tên đăng nhập proxy.

proxyPassword - Mật khẩu proxy.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "cf_clearance",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Chèn cf_clearance

Giải pháp nhận được (cookie cf_clearance) có thể được thiết lập trong trình duyệt hoặc gửi cùng yêu cầu HTTP bằng header Cookie: cf_clearance=<giá trị>. Để tự động hóa, có thể dùng Puppeteer, Selenium hoặc Playwright, cho phép mô phỏng hành động người dùng, chèn cookie và gửi form.

Nhận diện Cloudflare Challenge bằng thư viện có sẵn

Dịch vụ CapMonster Cloud cung cấp thư viện sẵn sàng cho Python, JavaScript (Node.js) và C#.

Python

JavaScript

Giải Challenge và chèn cookie

Ví dụ Node.js cho toàn bộ quy trình nhận diện captcha trên trang của bạn. Các cách tiếp cận: dùng yêu cầu HTTP để lấy HTML và tham số hệ thống bảo vệ, gửi phản hồi và xử lý kết quả. Hoặc dùng công cụ tự động hóa (ví dụ Playwright) — mở trang, chờ xác minh, gửi tham số qua CapMonster Cloud, nhận kết quả, chèn cookie vào trình duyệt (có thể dùng dữ liệu đúng hoặc sai để test) và xem kết quả.


  // npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from 'playwright';
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  TurnstileRequest
} from '@zennolab_com/capmonstercloud-client';

// Cấu hình — thay bằng giá trị của bạn
const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://www.example.com';
const SITE_KEY = 'xxxxx'; // Có thể gửi bất kỳ chuỗi nào
const USER_AGENT = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36';

// Cấu hình proxy
const proxy = {
  proxyType: 'http',
  proxyAddress: '8.8.8.8',
  proxyPort: 8080,
  proxyLogin: 'proxyLogin',
  proxyPassword: 'proxyPassword'
};

async function main() {

  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  // Khởi chạy trình duyệt
  const browser = await chromium.launch({
    headless: false,
    proxy: proxy.proxyAddress ? {
      server: `${proxy.proxyType}://${proxy.proxyAddress}:${proxy.proxyPort}`,
      username: proxy.proxyLogin,
      password: proxy.proxyPassword
    } : undefined
  });

  // Tạo context với User-Agent và kích thước cửa sổ cần thiết (tùy chọn)
  const context = await browser.newContext({ userAgent: USER_AGENT, viewport: { width: 1280, height: 800 } });

  // Tạo trang và tải URL mục tiêu
  const page = await context.newPage();
  const resp = await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Trạng thái yêu cầu ban đầu:', resp?.status());

  // Lấy HTML của trang và chuyển sang Base64 cho CapMonster
  const htmlBase64 = Buffer.from(await page.content(), 'utf-8').toString('base64');

  // Tạo nhiệm vụ Turnstile để lấy cf_clearance
  const solveResult = await cmcClient.Solve(new TurnstileRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    cloudflareTaskType: 'cf_clearance',
    htmlPageBase64: htmlBase64,
    userAgent: USER_AGENT,
    proxy: proxy.proxyAddress ? proxy : undefined
  }));

  const cf_clearance = solveResult?.solution?.cf_clearance;
  if (!cf_clearance) {
    console.error('Không thể lấy cf_clearance từ CapMonster:', solveResult);
    await browser.close();
    return;
  }
  console.log('cf_clearance nhận được:', cf_clearance);

  // Thêm cookie cf_clearance vào context trình duyệt
  await context.addCookies([{
    name: 'cf_clearance',
    value: cf_clearance,
    domain: '.' + new URL(TARGET_URL).hostname,
    path: '/',
    httpOnly: true,
    secure: true
  }]);
  console.log('Cookie cf_clearance đã được thêm thành công vào trình duyệt.');

  // Mở lại trang với cf_clearance đã được cài
  const page2 = await context.newPage();
  const resp2 = await page2.goto(TARGET_URL, { waitUntil: 'domcontentloaded', timeout: 60000 });
  console.log('Trạng thái yêu cầu sau khi đặt cf_clearance:', resp2?.status());

  await browser.close();
  console.log('Script hoàn tất.');
}

main().catch(err => {
  console.error('Đã xảy ra lỗi:', err);
  process.exit(1);
});

Ngoài ra còn có thể thử nhận diện captcha bằng tiện ích mở rộng CapMonster Cloud trên trình duyệt, theo dõi quá trình trực tiếp trên trang mà không cần viết code – có sẵn cho Chrome và Firefox.

Cách kết nối Cloudflare Challenge với trang web của bạn

Để hiểu cách captcha hoạt động trên trang, logic kiểm tra và cách kết nối hoặc cấu hình lại, chúng tôi khuyến nghị phần này. Nó mô tả quá trình triển khai bảo vệ và giúp bạn nắm nhanh các chi tiết.

1. Đăng ký hoặc đăng nhập tài khoản và kết nối tên miền với Cloudflare.

2. Kích hoạt Challenge thông qua luật WAF.

Đi tới: Security → Custom Rules → Create rule

Xem thêm thông tin tại đây.

Ví dụ điều kiện (kiểm tra toàn bộ trang login):

http.request.uri.path contains "/login"

3. Chọn hành động:

Managed Challenge (khuyến nghị) — hệ thống tự quyết định có hiển thị Challenge và loại nào.

Bạn cũng có thể chọn Interactive Challenge, Skip, Block hoặc JavaScript Challenge. Tìm hiểu thêm về các loại xác minh trong tài liệu và quyết định loại nào thuận tiện nhất cho bạn.

Đặt các cài đặt còn lại và nhấn Deploy.

Sau khi xác minh, người dùng nhận được cookie cf_clearance — giúp tránh hiển thị Challenge lại trên cùng thiết bị và trình duyệt.

Ngoài ra, nếu bạn cần tích hợp widget Turnstile vào trang web của mình, bạn có thể tham khảo bài viết sau. Cloudflare Turnstile cho phép khách truy cập vượt qua kiểm tra bot mà không cần sử dụng captcha hình ảnh hoặc nhiệm vụ phức tạp, đồng thời phát hành một token xác nhận người dùng là con người.

Các lỗi thường gặp và cách xử lý

Tên miền hoặc cấu hình luật không hợp lệ

Challenge không hiển thị. Kiểm tra xem luật WAF có liên kết với URI, đường dẫn hoặc host đúng không.

Hết thời gian tải trang hoặc challenge

Trình duyệt hoặc client không chờ phản hồi từ Cloudflare. Tăng timeout trong kiểm tra và giám sát.

Kiểm tra lại hoặc cf_clearance hết hạn

Nếu người dùng sử dụng cf_clearance đã hết hạn, hệ thống sẽ hiển thị lại Challenge.

Có xác minh khác sau Challenge

Sử dụng Challenge cùng lúc với luật tùy chỉnh có thể dẫn đến kiểm tra vòng lặp. Làm theo khuyến nghị của Cloudflare để giải quyết.

Kiểm tra độ bền vững của lớp bảo vệ

Thử truy cập trang mà không có cf_clearance — Challenge sẽ được kích hoạt.

Kiểm tra truy cập lại với cf_clearance đã đặt — người dùng sẽ vượt qua các kiểm tra bổ sung cùng cấp hoặc thấp hơn.

Thực hiện kiểm tra tải (ví dụ k6 hoặc JMeter) với tốc độ yêu cầu cao — Challenge phải hiển thị chính xác và WAF vẫn ổn định.

Kiểm tra phản hồi server với cookie hết hạn hoặc sai. Kết quả mong đợi — Challenge sẽ hiển thị lại.

Khuyến nghị về bảo mật và tối ưu

Cấu hình WAF và Managed/JS/Interactive Challenge theo mức rủi ro.

Ghi lại sự kiện bảo mật và trạng thái vượt Challenge để hiểu lý do chặn và cảnh báo sai.

Ghi lại sự kiện bảo mật và trạng thái vượt Challenge để hiểu lý do chặn và cảnh báo sai.

Để minh bạch và tuân thủ, thêm liên kết tới <b>Chính sách quyền riêng tư</b> và <b>Điều khoản sử dụng</b> Cloudflare/trang web trên các trang có Challenge.

Để minh bạch và tuân thủ, thêm liên kết tới Chính sách quyền riêng tư và Điều khoản sử dụng Cloudflare/trang web trên các trang có Challenge.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với Cloudflare Challenge, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết Cloudflare Challenge và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu Cloudflare Challenge →

Tài liệu CapMonster Cloud (làm việc với Cloudflare Challenge) →

Cloudflare CAPTCHA là gì và cách giải bằng CapMonster Cloud →

Cloudflare phát hiện lưu lượng tự động như thế nào: bảo vệ trang web khỏi bot →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

Cloudflare Challenge và CapMonster Cloud

Cloudflare Challenge
và CapMonster Cloud