Cloudflare Turnstile
và CapMonster Cloud

Giải quyết CAPTCHA, cài đặt trên trang web và kiểm tra.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng Cloudflare Turnstile, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống Cloudflare Turnstile để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

Cloudflare Turnstile là gì

Cloudflare Turnstile là một CAPTCHA hiện đại từ Cloudflare bảo vệ các trang web khỏi các hành động tự động. Đối với khách truy cập trang web, việc xác minh gần như vô hình, không cần phải hoàn thành các nhiệm vụ: thường chỉ cần một cú nhấp chuột vào hộp kiểm, sau đó hệ thống quyết định cho phép khách truy cập qua hay chặn nếu nghi ngờ là bot. Khác với Cloudflare Challenge, CAPTCHA Turnstile được đặt trực tiếp trên trang web, không phải trong cửa sổ riêng—thường là trong các biểu mẫu đăng nhập hoặc đăng ký.

Cách giải quyết Cloudflare Turnstile qua CapMonster Cloud

Khi kiểm thử biểu mẫu chứa Cloudflare Turnstile, bạn thường phải xác minh xem captcha đã tích hợp đúng và hoạt động ổn định chưa.

Bạn có thể tự kiểm tra captcha trên site.

Mở trang có form và đảm bảo captcha hiển thị.
Thử gửi form mà không giải captcha — máy chủ phải trả lỗi.
Sau khi giải thành công, form phải gửi đi trơn tru.

Để giải tự động có thể dùng CapMonster Cloud, dịch vụ nhận tham số captcha, xử lý trên máy chủ của họ và trả về token sẵn dùng. Chèn token này vào form để vượt qua kiểm tra mà không cần tương tác người dùng.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở giai đoạn này, bạn chuyển khóa API, loại CAPTCHA và các tham số của nó. Dịch vụ trả về một taskId duy nhất, có thể được sử dụng sau này để lấy kết quả.

Gửi yêu cầu API

Trong yêu cầu giải quyết Cloudflare Turnstile, cần chỉ định các tham số sau:

type - TurnstileTask;

websiteURL - địa chỉ của trang nơi CAPTCHA đang được giải quyết;

websiteKey - khóa Turnstile.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "TurnstileTask",
    "websiteURL": "http://tsmanaged.zlsupport.com",
    "websiteKey": "0x4AAAAAAABUYP0XeMJF0xoy"
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "token": "0.iGX3xsyFCkbGePM3jP4P4khLo6TrLukt8ZzBvwuQOvbC...f61f3082"
  }
}

Áp dụng token lên trang

Sau khi máy chủ nhận được token Turnstile từ CapMonster Cloud, nó cần được chuyển đến trang web. Máy chủ sẽ xác minh dữ liệu và xác nhận rằng CAPTCHA đã được giải quyết thành công. Để tự động hóa, bạn có thể sử dụng các yêu cầu HTTP hoặc các công cụ như Puppeteer, Selenium hoặc Playwright—chúng cho phép chèn giá trị vào biểu mẫu và gửi yêu cầu, mô phỏng các hành động của người dùng.

Nhận dạng Cloudflare Turnstile sử dụng thư viện có sẵn

Dịch vụ CapMonster Cloud cung cấp các thư viện có sẵn để làm việc thuận tiện trong các ngôn ngữ Python, JavaScript (Node.js) và C#.

Python

JavaScript

Giải quyết, chèn token và gửi biểu mẫu

Ví dụ trong Node.js cho chu trình đầy đủ nhận dạng CAPTCHA trên trang web của bạn. Các cách tiếp cận có thể: sử dụng các yêu cầu HTTP để lấy HTML và các tham số CAPTCHA, gửi phản hồi và xử lý kết quả; hoặc với các công cụ tự động hóa (ví dụ: Playwright)—mở trang, đợi CAPTCHA, gửi các tham số (để kiểm tra bạn có thể gửi cả dữ liệu đúng và sai), nhận giải pháp qua máy khách CapMonster Cloud, chèn token vào biểu mẫu và xem kết quả.

// npm install playwright @zennolab_com/capmonstercloud-client

import { chromium } from "playwright";
import { CapMonsterCloudClientFactory, ClientOptions, TurnstileRequest } from "@zennolab_com/capmonstercloud-client";

async function main() {
  // 1. Giải quyết Turnstile qua CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: 'YOUR_CAPMONSTER_API_KEY' })
  );

  const turnstileRequest = new TurnstileRequest({
    websiteURL: 'http://tsmanaged.zlsupport.com',
    websiteKey: '0x4AAAAAAABUYP0XeMJF0xoy',
  });

  const result = await cmcClient.Solve(turnstileRequest);
  const token = result.solution.token;
  console.log('Đã nhận token Turnstile:', token);

  // 2. Khởi động Playwright
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();
  await page.goto('http://tsmanaged.zlsupport.com');

  // 3. Điền đăng nhập và mật khẩu
  await page.fill('#username', 'your_username');
  await page.fill('#password', 'your_password');

  // 4. Đợi trường token ẩn xuất hiện
  await page.waitForSelector('#token', { state: 'attached', timeout: 60000 });

  // 5. Chèn token và làm cho trường hiển thị
  await page.evaluate((t) => {
    const tokenInput = document.querySelector('#token');
    if (tokenInput) {
      tokenInput.type = 'text';  // làm cho trường hiển thị
      tokenInput.value = t;      // chèn token
      console.log('Token đã được chèn vào trường token');
    } else {
      console.error('Không tìm thấy trường #token');
    }
  }, token);

  // 6. Xác minh rằng token đã thực sự được chèn
  const checkValue = await page.$eval('#token', el => el.value);
  console.log('Kiểm tra giá trị token:', checkValue);

  // 7. Gửi biểu mẫu
  await page.click('button[type="submit"]');
  console.log('Biểu mẫu đã được gửi với token Turnstile');

  // await browser.close();
}

main().catch(err => console.error(err));

Cũng có một tùy chọn tuyệt vời để kiểm tra nhận dạng CAPTCHA bằng cách sử dụng tiện ích mở rộng trình duyệt CapMonster Cloud, cho phép bạn nhanh chóng kiểm tra chức năng CAPTCHA trực tiếp trên trang và theo dõi quá trình giải quyết theo thời gian thực mà không cần viết mã—có sẵn để cài đặt trên Chrome và Firefox.

Cách kết nối Cloudflare Turnstile với trang web của bạn

Để tự tin điều hướng hoạt động của CAPTCHA trên trang web của bạn, hiểu logic xác minh của nó, kết nối lại hoặc cấu hình lại, chúng tôi khuyên bạn nên nghiên cứu phần này. Nó mô tả quy trình kết nối bảo vệ—điều này sẽ giúp bạn nhanh chóng hiểu tất cả các sắc thái.

1. Truy cập trang Cloudflare Turnstile, nhấp vào Bắt đầu ngay.

2. Đăng ký dịch vụ.

3. Trong Turnstile Widgets, nhấp vào nút màu xanh Add Widget.

HowTo Connect image 1

4. Cấu hình Cloudflare Turnstile, chỉ định:

Widget name—tên của CAPTCHA (để thuận tiện, ví dụ: Login form).
Hostname Management—các tên miền nơi CAPTCHA sẽ hoạt động (ví dụ: example.com).
Widget Mode:
- Managed—tùy chọn tối ưu, CAPTCHA tự quyết định có hiển thị hộp kiểm hay không.
- Non-interactive—xác minh được thực hiện tự động mà không cần nhấp chuột.
- Invisible—hoàn toàn vô hình.
Pre-clearance—đặt thành Yes nếu trang web đi qua Cloudflare Proxy (để không lặp lại CAPTCHA).

5. Sau khi tạo widget, bạn sẽ nhận được hai khóa—Site Key và Secret Key.

HowTo Connect image 2

6. Kết nối phần máy khách

1) Kết nối script Turnstile

Hiển thị tự động (widget được tạo tự động khi tải trang):

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Kiểm soát theo chương trình (bạn tự tạo widget qua JavaScript):

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js?render=explicit" defer></script>

Quan trọng: script phải được tải từ URL chính xác. Proxy hoặc bộ nhớ cache có thể gây ra lỗi.

2) Tạo một container cho widget

Tự động:

<div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>"></div>

Theo chương trình:

<div id="turnstile-container"></div>

3) Cấu hình widget

Qua thuộc tính data:

<div class="cf-turnstile"
            data-sitekey="<YOUR_SITEKEY>"
            data-theme="light"
            data-size="normal"
            data-callback="onSuccess">
          </div>

Qua JavaScript:

const widgetId = turnstile.render("#turnstile-container", {
  sitekey: "<YOUR_SITEKEY>",
  theme: "light",
  size: "normal",
  callback: token => console.log("Token:", token)
});

4) Làm việc với token

const token = turnstile.getResponse(widgetId);      // lấy token
const isExpired = turnstile.isExpired(widgetId);    // kiểm tra hết hạn
turnstile.reset(widgetId);                          // đặt lại
turnstile.remove(widgetId);                         // xóa
turnstile.execute("#turnstile-container");         // thực thi thủ công

5) Tích hợp với biểu mẫu

<form id="my-form" method="POST">
  <input type="hidden" name="cf-turnstile-response" id="cf-turnstile-response">
  <button type="submit">Gửi</button>
</form>

<script>
function onSuccess(token) {
  document.getElementById("cf-turnstile-response").value = token;
}
</script>

Ví dụ mã

<title>Turnstile Example</title>
  <!-- Kết nối script Turnstile -->
  <script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
</head>
<body>
  <h1>Ví dụ biểu mẫu với Turnstile</h1>

  <form id="my-form">
    <label for="username">Tên:</label>
    <input type="text" name="username" id="username" required>
    
    <!-- Container cho Turnstile -->
    <div class="cf-turnstile" data-sitekey="<YOUR_SITEKEY>" data-callback="onTurnstileSuccess"></div>
    
    <button type="submit">Gửi</button>
  </form>

  <script>
    // Callback được gọi sau khi vượt qua CAPTCHA
    function onTurnstileSuccess(token) {
      console.log("Đã nhận token Turnstile:", token);
      // Lưu token vào trường biểu mẫu ẩn (tùy chọn)
      document.getElementById("cf-turnstile-token")?.remove();
      const input = document.createElement("input");
      input.type = "hidden";
      input.name = "cf-turnstile-response";
      input.id = "cf-turnstile-token";
      input.value = token;
      document.getElementById("my-form").appendChild(input);
    }

    // Gửi biểu mẫu
    document.getElementById("my-form").addEventListener("submit", async (e) => {
      e.preventDefault();

      const formData = new FormData(e.target);
      const response = await fetch("/submit-form", {
        method: "POST",
        body: formData
      });

      const result = await response.json();
      if(result.success){
        alert("Biểu mẫu đã được gửi thành công và token đã được xác minh!");
      } else {
        alert("Lỗi xác minh token Turnstile. Vui lòng thử lại.");
        // Đặt lại widget để người dùng có thể hoàn thành CAPTCHA lại
        turnstile.reset();
      }
    });
  </script>
</body>
</html>

6) Cấu hình phần máy chủ

Quy trình xác minh phía máy chủ:

Máy khách: người dùng hoàn thành Turnstile trên trang → token được tạo.
Biểu mẫu được gửi: token cùng với dữ liệu biểu mẫu được gửi đến máy chủ.
Máy chủ: thực hiện yêu cầu POST đến API Siteverify của Cloudflare với token và bí mật.
Cloudflare: trả về JSON với kết quả (success: true/false) và thông tin bổ sung (action, hostname, thời gian hoàn thành).
Máy chủ: quyết định cho phép hoặc từ chối hành động của người dùng.

API Siteverify:

POST

https://challenges.cloudflare.com/turnstile/v0/siteverify

Tham số yêu cầu:

secret (bắt buộc): khóa bí mật Turnstile từ bảng điều khiển Cloudflare
response (bắt buộc): token nhận được trên máy khách
remoteip (tùy chọn): địa chỉ IP của người dùng (khuyến nghị)
idempotency_key (tùy chọn): UUID duy nhất để bảo vệ chống xác minh lặp lại

Thuộc tính token:

Độ dài tối đa: 2048 ký tự
Có hiệu lực trong 5 phút
Sử dụng một lần
Khi hết hạn hoặc xác minh lại, API sẽ trả về lỗi timeout-or-duplicate

Ví dụ xác minh trong PHP

<?php
function validateTurnstile($token, $secret, $remoteip = null) {
    $url = 'https://challenges.cloudflare.com/turnstile/v0/siteverify';
    $data = ['secret' => $secret, 'response' => $token];
    if ($remoteip) $data['remoteip'] = $remoteip;

    $options = [
        'http' => [
            'header'  => "Content-type: application/x-www-form-urlencoded
",
            'method'  => 'POST',
            'content' => http_build_query($data)
        ]
    ];

    $response = file_get_contents($url, false, stream_context_create($options));
    if ($response === FALSE) {
        return ['success' => false, 'error-codes' => ['internal-error']];
    }

    return json_decode($response, true);
}

// Sử dụng
$secret_key = 'YOUR_SECRET_KEY';
$token = $_POST['cf-turnstile-response'] ?? '';
$remoteip = $_SERVER['REMOTE_ADDR'];

$result = validateTurnstile($token, $secret_key, $remoteip);

if($result['success']){
    echo "Biểu mẫu đã được gửi thành công!";
} else {
    echo "Lỗi xác minh: " . implode(', ', $result['error-codes']);
}
?>

Tất cả các hướng dẫn chi tiết để cài đặt và cấu hình Cloudflare Turnstile, bao gồm tích hợp máy khách và máy chủ, ví dụ mã, mô tả lỗi và khuyến nghị bảo mật, có thể được tìm thấy trong tài liệu chính thức của Cloudflare.

Các lỗi thường gặp và cách xử lý

Tham số không chính xác

CAPTCHA không hiển thị hoặc trả về lỗi như invalid-input-secret, missing-input-response, invalid-input-response. Kiểm tra tính hợp lệ của sitekey và secret key, cũng như cài đặt trong Bảng điều khiển Cloudflare.

Hết thời gian giải quyết

Token đã hết hạn (có hiệu lực trong 300 giây) hoặc không được nhận kịp thời. Đảm bảo kết nối ổn định và tích hợp API chính xác.

Token trống hoặc không chính xác

Tham số cf-turnstile-response bị thiếu hoặc không chính xác. Kiểm tra việc chuyển token đến biểu mẫu và máy chủ.

Phản hồi success=false

Token không hợp lệ, đã hết hạn hoặc đã được sử dụng. Mỗi token chỉ có thể được xác minh một lần. Bật ghi nhật ký các yêu cầu và phản hồi Siteverify để phân tích.

Kiểm tra độ bền vững của lớp bảo vệ

Sau khi tích hợp, hãy đảm bảo hệ thống thực sự chặn được những hành động tự động.

Thử thực hiện yêu cầu mà không giải quyết CAPTCHA—máy chủ phải trả về success: false.

Thực hiện kiểm tra tải (ví dụ: sử dụng k6 hoặc JMeter) ở tốc độ trên 100+ yêu cầu mỗi giây. Turnstile phải xử lý các yêu cầu một cách chính xác và máy chủ phải xác minh token một cách ổn định thông qua API Siteverify.

Kiểm tra phản hồi đối với token đã hết hạn hoặc được gửi lại—phản hồi API dự kiến: success: false và error-codes: ["timeout-or-duplicate"].

Khuyến nghị về bảo mật và tối ưu

Xác minh token chỉ trên máy chủ, không bao giờ gọi API Siteverify từ frontend—điều này sẽ lộ khóa bí mật của bạn.

Xác minh token chỉ trên máy chủ, không bao giờ gọi API Siteverify từ frontend—điều này sẽ lộ khóa bí mật của bạn.

Sử dụng biến môi trường hoặc hệ thống quản lý bí mật thay vì lưu trữ khóa trong mã.

Sử dụng biến môi trường hoặc hệ thống quản lý bí mật thay vì lưu trữ khóa trong mã.

Kiểm tra các trường bổ sung (<b>hostname</b>, <b>action</b>) để đảm bảo yêu cầu đến từ trang web của bạn.

Kiểm tra các trường bổ sung (hostname, action) để đảm bảo yêu cầu đến từ trang web của bạn.

Sử dụng HTTPS—tất cả các cuộc gọi đến Siteverify phải được thực hiện qua kết nối an toàn.

Sử dụng HTTPS—tất cả các cuộc gọi đến Siteverify phải được thực hiện qua kết nối an toàn.

Triển khai xử lý lỗi—khi API không khả dụng, hiển thị cho người dùng thông báo rõ ràng mà không tiết lộ dữ liệu nội bộ.

Triển khai xử lý lỗi—khi API không khả dụng, hiển thị cho người dùng thông báo rõ ràng mà không tiết lộ dữ liệu nội bộ.

Hạn chế việc sử dụng sitekey theo tên miền.

Thêm liên kết đến <b>Chính sách bảo mật</b> và <b>Điều khoản dịch vụ Cloudflare</b> vào biểu mẫu nếu tổ chức hoặc chính sách bảo mật của bạn yêu cầu.

Thêm liên kết đến Chính sách bảo mật và Điều khoản dịch vụ Cloudflare vào biểu mẫu nếu tổ chức hoặc chính sách bảo mật của bạn yêu cầu.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với Cloudflare Turnstile, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết Cloudflare Turnstile và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu Cloudflare Turnstile →

Đăng ký Cloudflare →

Đăng ký CapMonster Cloud →

Tài liệu CapMonster Cloud (làm việc với Cloudflare Turnstile) →

Cloudflare CAPTCHA là gì và cách giải quyết với CapMonster Cloud →

Cloudflare phát hiện lưu lượng tự động như thế nào: bảo vệ trang web khỏi bot →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

Cloudflare Turnstile và CapMonster Cloud

Cách giải quyết Cloudflare Turnstile qua CapMonster Cloud

Cloudflare Turnstile
và CapMonster Cloud