FunCaptcha
và CapMonster Cloud

Giải captcha, cài đặt trên trang web và kiểm tra.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng FunCaptcha (Arkose Labs CAPTCHA), bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống FunCaptcha (Arkose Labs CAPTCHA) để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

FunCaptcha là gì

FunCaptcha là hệ thống bảo vệ tương tác chống bot do Arkose Labs phát triển. Nó kiểm tra xem người dùng có phải con người hay không thông qua các thử thách trực quan và trò chơi, dễ cho con người nhưng khó tự động hóa. FunCaptcha được sử dụng để bảo vệ đăng ký, đăng nhập, thanh toán trực tuyến, chiến dịch marketing và ngăn chặn gian lận, spam và các hành động tự động hàng loạt.

Ví dụ về FunCaptcha

Xoay đối tượng 3D

Người dùng xoay mô hình 3D hoặc hình dạng để đặt vào vị trí đúng.

Chọn đối tượng theo điều kiện

Chọn hình ảnh hoặc phần tử theo quy tắc (ví dụ: 'chọn tất cả các quả táo').

Nhiệm vụ tương tác (kéo và thả / theo đường dẫn)

Người dùng thực hiện thao tác với các phần tử, ví dụ kéo chúng theo đường dẫn xác định.

Câu hỏi âm thanh

Người dùng nghe âm thanh và chọn câu trả lời đúng (ít được dùng hơn so với thử thách hình ảnh).

Cách giải FunCaptcha qua CapMonster Cloud

Khi kiểm tra form có FunCaptcha, thường cần xác minh captcha hoạt động chính xác và đã tích hợp.

Bạn có thể kiểm tra captcha trên trang web của mình thủ công.

Mở trang có form và đảm bảo captcha hiển thị.
Thử gửi form mà không giải captcha — server phải trả lỗi.
Sau khi giải captcha thành công — form phải gửi mà không có lỗi.

Để tự động nhận diện captcha, bạn có thể dùng dịch vụ chuyên dụng như CapMonster Cloud — công cụ nhận các tham số captcha, xử lý trên server của họ và trả về token sẵn sàng. Token này có thể chèn vào form để vượt qua kiểm tra mà không cần người dùng tham gia.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở bước này bạn gửi API key, loại captcha và các tham số. Dịch vụ trả về taskId duy nhất, dùng để nhận kết quả sau.

Gửi yêu cầu API

Trong yêu cầu giải FunCaptcha, bạn cần cung cấp các tham số sau:

type - FunCaptchaTask

websiteURL - địa chỉ trang chứa captcha;

websitePublicKey - khóa FunCaptcha (giá trị public key hoặc pk);

data - tham số bổ sung. Bắt buộc nếu trang sử dụng data[blob];

funcaptchaApiJSSubdomain - subdomain Arkose Labs (giá trị surl). Chỉ định nếu khác mặc định: client-api.arkoselabs.com

userAgent - User-Agent trình duyệt. Chỉ gửi UA Windows hiện tại.

Cũng cần sử dụng proxy của bạn:

proxyType :

http - proxy HTTP/HTTPS thông thường;
https - thử nếu 'http' không hoạt động (cần cho một số proxy tùy chỉnh);
socks4 - proxy loại SOCKS4;
socks5 - proxy loại SOCKS5.

proxyAddress - Địa chỉ IP proxy IPv4/IPv6.

proxyPort - Cổng proxy.

proxyLogin - Tên đăng nhập proxy.

proxyPassword - Mật khẩu proxy.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "proxyType": "http",  // Thêm proxy nếu cần
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

Áp dụng token lên trang

Token nhận được có thể chèn vào trường ẩn của form hoặc gọi hàm JS trên trang để xác nhận giải. Server sẽ chấp nhận form là hợp lệ. Để tự động hóa và kiểm tra, bạn có thể dùng Puppeteer, Selenium hoặc Playwright, giả lập thao tác người dùng, chèn token và gửi form.


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// token nhận từ CapMonster Cloud
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * Bắt Arkose tổng quát (v1 / v2)
   * Thực hiện trước khi tải trang
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // Bắt qua Object.defineProperty (thường dùng bởi Arkose)
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // Fallback: kiểm tra định kỳ các đối tượng toàn cục
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // Điểm chung để truyền token
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // Các phương án thay thế
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // Fallback
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * Mở trang
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * Trang này cần khởi tạo FunCaptcha
   * (đăng ký, đăng nhập, nút, form, v.v.)
   */

  /**
   * Truyền token sẵn sàng
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * Cho trang thời gian xử lý kết quả
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

Bạn cũng có thể kiểm tra nhận diện captcha bằng tiện ích mở rộng CapMonster Cloud, giúp kiểm tra captcha ngay trên trang và theo dõi quá trình trong thời gian thực mà không cần code — có thể cài trên Chrome và Firefox.

Cách kết nối FunCaptcha với trang web của bạn

Để hiểu cách captcha hoạt động trên trang, nắm logic kiểm tra, và kết nối hoặc cấu hình lại, hãy đọc phần này. Nó mô tả quy trình bảo vệ và giúp hiểu nhanh các chi tiết.

Đăng ký Arkose Labs và lấy quyền truy cập Arkose Command Center (bạn có thể gửi chat với thông tin của mình trong form — ví dụ tại đây hoặc tại đây).
Sau khi có quyền truy cập, lấy hai khóa (Public / Private) trong Settings → Keys.
Nếu cần, liên hệ Customer Success Manager (CSM) để:
- Nhận domain API tùy chỉnh;
- Xác minh các schema yêu cầu và phản hồi API.

Khuyến nghị Arkose

Dùng Development Key cho thử nghiệm.
Dùng Production Key riêng cho mỗi workflow (login, register, purchase, v.v.).
Dùng khóa khác cho các trang khác nhau.

Quy trình chung

Client thu thập dữ liệu và nếu cần hiển thị challenge.
Client nhận session token dùng một lần.
Server kiểm tra token qua Arkose Verify API.

Bước 1. Tích hợp phía client

Trên trình duyệt (Arkose Bot Manager):

Phân tích hành vi người dùng;
Nếu cần, hiển thị Enforcement Challenge;
Trả về session token.

Client API:

Có thể dùng cho thử nghiệm:
client-api.arkoselabs.com
Cho production, nên dùng domain tùy chỉnh:
<company>-api.arkoselabs.com

Yêu cầu chính

Script client Arkose chỉ được gọi một lần trên trang
Phải xác định callback toàn cục
Phải gọi setConfig()
Dựa trên kết quả, quyết định cho phép hay từ chối hành động.

Kết quả client — token gửi lên server.

Ví dụ tích hợp


<html>
<head>
  <!--
    Kết nối API Arkose Labs trong <head> trang. Trong ví dụ:
    - thay <YOUR PUBLIC KEY> bằng public key từ Arkose Labs;
    - thay <YOUR CALLBACK> bằng tên hàm callback toàn cục bạn định nghĩa.
   Ví dụ:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    Phần tử kích hoạt có thể ở bất kỳ đâu trên trang và thêm vào DOM bất kỳ lúc nào.
  -->
  <button id="arkose-trigger">
    phần tử kích hoạt
  </button>

  <!--
    Để cấu hình Arkose (detection hoặc enforcement), đặt script trước thẻ </body> và định nghĩa hàm callback toàn cục.
  -->
  <script>
    /*
      Hàm toàn cục này sẽ gọi khi Arkose API sẵn sàng. Tên hàm phải trùng với thuộc tính data-callback của script tải API Arkose.
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // Session token dùng một lần gửi lên server
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

Bước 2. Kiểm tra server

Trên server, token được xác minh qua Arkose Verify API.

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

Tham số bắt buộc

Ví dụ POST body


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

API trả về thông tin session và kết quả xác minh.

Điểm quan trọng

Ví dụ kiểm tra server bằng PHP:


<?php
$private_key = 'YOUR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => 'Session token thiếu']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => 'Lỗi khi xác minh captcha']);
    exit;
}

echo $result;
?>

Cách hoạt động:

Thông tin chi tiết về tích hợp FunCaptcha có tại tài liệu chính thức.

Các lỗi thường gặp và cách xử lý

Tham số yêu cầu không hợp lệ

Đảm bảo bạn dùng đúng Public Key cho client và Private Key cho server, và gửi đúng session_token tới Verify API.

session_token trống hoặc sai

Server sẽ nhận kết quả trống hoặc lỗi xác minh. Kiểm tra client gửi token đúng sau khi giải captcha.

Hết thời gian giải

Nếu người dùng không hoàn thành xác minh kịp thời, server Arkose có thể trả lỗi hoặc từ chối. Tăng thời gian chờ trên server.

Kiểm tra độ bền vững của lớp bảo vệ

Thử gửi yêu cầu mà không có session_token — server phải trả lỗi và từ chối.

Thực hiện tải kiểm tra (ví dụ bằng k6 hoặc JMeter) 100–200+ yêu cầu/giây — captcha phải khởi tạo đúng, backend xử lý kiểm tra ổn định.

Kiểm tra token hết hạn (session_token) — server trả lỗi và từ chối.

Kiểm tra tái sử dụng cùng một token — kết quả mong đợi: từ chối xác minh.

Khuyến nghị về bảo mật và tối ưu

<b>Chỉ lưu Private Key trên server</b>, không đưa vào JS client.

Chỉ lưu Private Key trên server, không đưa vào JS client.

Ghi nhận đầy đủ phản hồi Arkose Verify API, bao gồm trạng thái, mã lỗi và tham số — giúp xử lý sự cố nhanh hơn.

Ghi nhận đầy đủ phản hồi Arkose Verify API, bao gồm trạng thái, mã lỗi và tham số — giúp xử lý sự cố nhanh hơn.

Dùng <b>HTTPS</b> cho mọi yêu cầu (client → server → Verify API) để tránh giả mạo dữ liệu.

Dùng HTTPS cho mọi yêu cầu (client → server → Verify API) để tránh giả mạo dữ liệu.

Đặt liên kết <b>Chính sách bảo mật</b> và <b>Điều khoản Arkose Labs</b> trên trang, theo yêu cầu cấp phép.

Đặt liên kết Chính sách bảo mật và Điều khoản Arkose Labs trên trang, theo yêu cầu cấp phép.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với FunCaptcha, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết FunCaptcha và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu FunCaptcha (Arkose Labs CAPTCHA) →

Form yêu cầu kết nối FunCaptcha →

Tài liệu CapMonster Cloud (làm việc với FunCaptcha) →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

FunCaptcha và CapMonster Cloud

Cách giải FunCaptcha qua CapMonster Cloud

FunCaptcha
và CapMonster Cloud