Tiện ích mở rộng cho trình duyệt

Cho doanh nghiệp

Giá cả

Blog

Tài liệu

Tiếng Việt

Prosopo Procaptcha
và CapMonster Cloud

Giải captcha, cài đặt lên website và kiểm tra.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng Prosopo Procaptcha, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống Prosopo Procaptcha để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

Procaptcha là gì

Procaptcha là hệ thống bảo vệ do công ty Prosopo phát triển, được thiết kế để ngăn chặn spam và các hành động tự động có thể gây hại cho website. Nó giúp phân biệt người dùng thực và bot, đảm bảo an toàn và ổn định cho trang web. Nếu hệ thống nghi ngờ tính xác thực của khách truy cập, nó sẽ đưa ra một nhiệm vụ kiểm tra (ví dụ: chọn các hình ảnh nhất định); người dùng thực vẫn có thể sử dụng website một cách thuận tiện và mượt mà.

Ví dụ về Prosopo Procaptcha

Frictionless CAPTCHA

Captcha vô hình. Tự động xác định xem khách truy cập là người dùng thực hay bot. Nếu người dùng hành xử tự nhiên (trình duyệt bình thường, không tự động), captcha sẽ được giải mà không nhận thấy. Nếu phát hiện dấu hiệu của bot, người dùng sẽ được hiển thị nhiệm vụ image bổ sung.

Proof of Work (PoW) CAPTCHA

Captcha dựa trên tính toán, tức là yêu cầu thiết bị của bạn thực hiện một phép tính nhỏ trong nền. Mục đích chính là ngăn chặn bot hàng loạt và spam, vì các hệ thống tự động phải tiêu tốn thời gian và tài nguyên để hoàn thành nhiệm vụ. Đối với con người, thường gần như không nhận thấy.

Image CAPTCHA

Captcha hình ảnh cổ điển. Hiển thị các hình ảnh và yêu cầu chọn những hình phù hợp với điều kiện (ví dụ: “chọn tất cả các con ngựa”).

Cách giải Procaptcha qua CapMonster Cloud

Khi kiểm thử biểu mẫu chứa Prosopo Procaptcha, bạn thường phải xác minh xem captcha đã tích hợp đúng và hoạt động ổn định chưa.

Bạn có thể tự kiểm tra captcha trên site.

Mở trang có form và đảm bảo captcha hiển thị.
Thử gửi form mà không giải captcha — máy chủ phải trả lỗi.
Sau khi giải thành công, form phải gửi đi trơn tru.

Để giải tự động có thể dùng CapMonster Cloud, dịch vụ nhận tham số captcha, xử lý trên máy chủ của họ và trả về token sẵn dùng. Chèn token này vào form để vượt qua kiểm tra mà không cần tương tác người dùng.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở bước này, bạn gửi API key, loại captcha và các tham số. Dịch vụ trả về taskId duy nhất để lấy kết quả sau.

Gửi yêu cầu API

Trong yêu cầu giải Prosopo, bạn cần cung cấp các tham số sau:

type - ProsopoTask

websiteURL - URL đầy đủ của trang chứa captcha;

websiteKey - Giá trị của tham số siteKey tìm thấy trên trang.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:


{
"clientKey": "API_KEY",
"task": {
  "type": "ProsopoTask",
  "websiteURL": "https://www.example.com",
  "websiteKey": "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:


{
"errorId":0,
"status":"ready",
"solution": {
  "token": "0x00016c68747470733a2f2f70726f6e6f6465332e70726f736f706f2e696fc0354550516f4d5a454463354c704e376774784d4d7a5950547a4136..."
  }
}

Áp dụng token lên trang

Token nhận được có thể được chèn vào trường ẩn của form hoặc gọi hàm JS trên website để xác nhận giải pháp. Sau đó server sẽ nhận form là hợp lệ. Để tự động hóa và kiểm tra, bạn có thể sử dụng Puppeteer, Selenium hoặc Playwright, cho phép mô phỏng hành động người dùng, chèn token và gửi form.

Nhận diện Procaptcha bằng thư viện sẵn có

Dịch vụ CapMonster Cloud cung cấp các thư viện sẵn có để làm việc tiện lợi với các ngôn ngữ Python, JavaScript (Node.js) và C#.

Python

JavaScript

Giải captcha, chèn token và gửi form

Ví dụ Node.js cho toàn bộ chu trình giải captcha trên trang web của bạn. Các cách tiếp cận: sử dụng HTTP request để lấy HTML và các tham số captcha, gửi câu trả lời và xử lý kết quả; hoặc sử dụng công cụ tự động hóa (ví dụ Playwright) — mở trang, chờ captcha, gửi tham số (để test bạn có thể gửi dữ liệu đúng hoặc sai), lấy kết quả qua client CapMonster Cloud, chèn token vào form và xem kết quả.


async function sendTokenToSite(token) {
    // URL form hoặc endpoint để gửi token
    const formURL = "https://example..com/en/your-form-endpoint";

    // Ví dụ dữ liệu form
    const formData = {
        email: "example@example.com",
        password: "yourpassword",
        "procaptcha-response": token // token từ Procaptcha
    };

    try {
        const response = await fetch(formURL, {
            method: "POST",
            headers: {
                "Content-Type": "application/json", // или 'application/x-www-form-urlencoded' tùy thuộc vào trang web
            },
            body: JSON.stringify(formData),
        });

        const result = await response.text(); // hoặc response.json() nếu server trả JSON
        console.log("Server response:", result);
    } catch (err) {
        console.error("Error sending token:", err);
    }
}

// Hàm chính
async function solveAndSend() {
    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const prosopoRequest = new ProsopoRequest({
        websiteURL: "https://example.com/en/",
        websiteKey: "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    const result = await client.Solve(prosopoRequest);
    console.log("Captcha solution:", result);

    // Gửi token lên trang
    await sendTokenToSite(result.solution); // result.solution chứa token Procaptcha
}

solveAndSend().catch(console.error);

Ngoài ra còn có khả năng thử nghiệm nhận diện captcha bằng tiện ích trình duyệt CapMonster Cloud, cho phép kiểm tra captcha trực tiếp trên trang và theo dõi quá trình giải real-time mà không cần viết code – có sẵn để cài đặt trên Chrome và Firefox.

Cách kết nối Procaptcha với website của bạn

Để hiểu cách captcha hoạt động trên site của bạn, nắm logic kiểm tra, kết nối lại hoặc tái cấu hình, hãy tham khảo phần này. Nó hướng dẫn quá trình tích hợp bảo vệ, giúp bạn nhanh chóng nắm bắt chi tiết.

Bạn cũng có thể tích hợp Procaptcha với các framework phổ biến (React, Angular, vv.) hoặc cài đặt trên WordPress. Thông tin chi tiết có thể xem trong tài liệu chính thức của dự án.

1. Lấy khóa (sitekey và secret key)

1) Truy cập Prosopo Portal.
2) Vào Site Management
3) Nhấn Reveal — sẽ hiện hai khóa:
- sitekey — công khai, dùng trên client.
- secret key — riêng tư, chỉ dùng trên server.

Lưu ý: Mỗi widget có bộ khóa riêng. Không được dùng lại cho dự án khác.

2. Thêm domain của bạn

1) Vào Account → Domains.
2) Đảm bảo domain của bạn được liệt kê.
3) Nếu test local — thêm localhost.
4) Trước khi đưa vào prod — xóa localhost.

3. Kết nối script Procaptcha

Đặt tag vào <head>

<script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>>

4. Tùy chọn 1: Implicit rendering (tự động) — DỄ HƠN

Thêm container để captcha xuất hiện tự động:

<div class="procaptcha" data-sitekey="your_site_key"></div>

Thông thường đặt trong form.

Ví dụ form đầy đủ

<html>
    <head>
        <title>Procaptcha Demo</title>
        <script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>
    </head>
    <body>
        <form action="" method="POST">
            <input type="text" name="email" placeholder="Email" />
            <input type="password" name="password" placeholder="Password" />
            <div class="procaptcha" data-sitekey="your_site_key"></div>
            <br />
            <input type="submit" value="Submit" />
        </form>
    </body>
</html>

Sau khi xác minh thành công, một tham số ẩn sẽ được thêm:

5. Tùy chọn 2: Explicit rendering (thủ công) — KIỂM SOÁT NHIỀU HƠN

Ví dụ HTML


<html>
    <head>
        <script
            type="module"
            id="procaptcha-script"
            src="https://js.prosopo.io/js/procaptcha.bundle.js"
            async
            defer
        ></script>
    </head>
    <body>
        <div id="procaptcha-container"></div>
    </body>
</html>

Ví dụ JavaScript


document.getElementById('procaptcha-script').addEventListener('load', function () {
    function onCaptchaVerified(output) {
        console.log('Captcha verified, output: ' + JSON.stringify(output))
    }

    const captchaContainer = document.getElementById('procaptcha-container')

    window.procaptcha.render(captchaContainer, {
        siteKey: 'YOUR_SITE_KEY',
        theme: 'dark',
        callback: onCaptchaVerified,
    })
})

6. Cấu hình loại captcha (tùy chọn)

Có thể chọn rõ ràng:

frictionless (mặc định)
pow
image

Ví dụ:


<div class="procaptcha"
     data-sitekey="your_site_key"
     data-captcha-type="pow">
</div>

7. Bước bắt buộc: xác minh token trên server

Sau khi render captcha, server bắt buộc phải kiểm tra phản hồi. Kiểm tra thực hiện qua API:

POST

https://api.prosopo.io/siteverify

Nội dung request:

{
    "secret": "your_secret_key",
    "token": "PROCAPTCHA-RESPONSE"
}

8. Xác minh trên server bằng PHP

Ví dụ code:


<?php
function verifyToken($token) {
    $url = 'https://api.prosopo.io/siteverify';
    $data = json_encode(["secret" => "your_secret_key", "token" => $token]);
    $options = [
        'http' => [
            'header'  => "Content-Type: application/json\r\n",
            'method'  => 'POST',
            'content' => $data,
        ],
    ];
    $context  = stream_context_create($options);
    $result = file_get_contents($url, false, $context);
    $response = json_decode($result, true);

    return $response["verified"] ?? false;
}
?>

Xác minh thành công nghĩa là gì?

Nếu server Procaptcha trả về:

{
    "verified": true
}

— captcha vượt qua, bạn có thể thực hiện hành động bảo vệ (ví dụ đăng ký người dùng).

Các lỗi thường gặp và cách xử lý

Site Key không hợp lệ

Đang sử dụng site key sai hoặc không hợp lệ. Giải pháp: đảm bảo sử dụng đúng key từ tài khoản Procaptcha.

URL nguồn không được phép

Domain cài widget không trùng với domain liên kết với site key. Giải pháp: kiểm tra và cập nhật danh sách domain trong cài đặt Procaptcha Portal.

Không tìm thấy phiên

Phiên không tồn tại hoặc đã hết hạn. Giải pháp: chờ widget reload (~3 giây) hoặc refresh trang. Nếu lỗi lặp lại, xóa cache và cookie hoặc liên hệ support.

Phản hồi success=false

Token đã hết hạn, dùng lại hoặc không vượt qua xác minh. Để chẩn đoán, bật log request và kiểm tra trường error trong phản hồi của Procaptcha.

Kiểm tra độ bền vững của lớp bảo vệ

Sau khi tích hợp, hãy đảm bảo hệ thống thực sự chặn được những hành động tự động.

Thử gửi yêu cầu mà không giải captcha — server phải trả về success: false.

Thực hiện stress test (ví dụ với k6 hoặc JMeter) với tốc độ >100 request/giây — captcha phải hiển thị đúng và hệ thống xác minh vẫn ổn định.

Kiểm tra phản ứng server với token hết hạn hoặc gửi lại — phản hồi mong đợi 403 Forbidden.

Khuyến nghị về bảo mật và tối ưu

Chỉ lưu <b>Secret Key</b> trên máy chủ. Không bao giờ gửi nó đến client.

Chỉ lưu Secret Key trên máy chủ. Không bao giờ gửi nó đến client.

Ghi lại mã lỗi <b>(error-codes)</b> để hiểu lý do tại sao các xác minh cụ thể thất bại.

Ghi lại mã lỗi (error-codes) để hiểu lý do tại sao các xác minh cụ thể thất bại.

Thêm liên kết ở cuối form đến <b>Chính sách quyền riêng tư</b> và <b>Điều khoản sử dụng Procaptcha</b>, nếu triển khai của bạn yêu cầu.

Thêm liên kết ở cuối form đến Chính sách quyền riêng tư và Điều khoản sử dụng Procaptcha, nếu triển khai của bạn yêu cầu.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với Prosopo Procaptcha, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết Prosopo Procaptcha và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu Procaptcha →

Prosopo Portal →

Tài liệu CapMonster Cloud (làm việc với Procaptcha) →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

Prosopo Procaptcha và CapMonster Cloud

Prosopo Procaptcha
và CapMonster Cloud