reCAPTCHA v2
và CapMonster Cloud

Giải captcha, tích hợp lên website và kiểm thử end-to-end.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng reCAPTCHA V2, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống reCAPTCHA V2 để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

Google reCAPTCHA v2 là gì

reCAPTCHA v2 là hệ thống bảo vệ của Google nhằm chặn spam và các hành động tự động có thể gây hại cho website. Nó giúp phân biệt người dùng thật với bot, giữ cho trang web an toàn và ổn định.

Ví dụ về reCAPTCHA V2

reCAPTCHA v2

Captcha checkbox cổ điển nơi người dùng xác nhận mình là người thật. Đôi khi xuất hiện thêm cửa sổ với nhiệm vụ như chọn đúng hình ảnh.

reCAPTCHA v2 Invisible

Phiên bản vô hình xác thực hoàn toàn tự động, không cần người dùng tương tác hay nhấp vào ô.

reCAPTCHA v2 Enterprise

Bản Enterprise với các tính năng kiểm soát và bảo mật bổ sung.

Cách giải reCAPTCHA v2 bằng CapMonster Cloud

Khi kiểm thử biểu mẫu chứa reCAPTCHA V2, bạn thường phải xác minh xem captcha đã tích hợp đúng và hoạt động ổn định chưa.

Bạn có thể tự kiểm tra captcha trên site.

Mở trang có form và đảm bảo captcha hiển thị.
Thử gửi form mà không giải captcha — máy chủ phải trả lỗi.
Sau khi giải thành công, form phải gửi đi trơn tru.

Để giải tự động có thể dùng CapMonster Cloud, dịch vụ nhận tham số captcha, xử lý trên máy chủ của họ và trả về token sẵn dùng. Chèn token này vào form để vượt qua kiểm tra mà không cần tương tác người dùng.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở bước này bạn gửi khóa API, loại captcha và các tham số. Dịch vụ trả về taskId duy nhất để bạn lấy kết quả sau đó.

Gửi yêu cầu API

Yêu cầu giải reCAPTCHA v2 phải có các tham số sau:

type - RecaptchaV2Task;

websiteURL - URL của trang chứa captcha;

websiteKey - sitekey hiển thị trên trang.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

Áp dụng token lên trang

Token trả về (giá trị "gRecaptchaResponse") có thể chèn vào trường ẩn hoặc truyền cho hàm JS trên trang để xác nhận kết quả. Sau đó máy chủ sẽ chấp nhận biểu mẫu. Để tự động hóa, hãy dùng Puppeteer, Selenium hoặc Playwright để mô phỏng thao tác người dùng, chèn token và gửi biểu mẫu.

Thay vì lấy token bạn có thể dùng phương pháp giải bằng cú nhấp chuột. Tham khảo thêm trong tài liệu CapMonster Cloud.

Giải reCAPTCHA v2 với thư viện sẵn có

CapMonster Cloud cung cấp SDK cho Python, JavaScript (Node.js) và C# giúp triển khai nhanh chóng.

Python

JavaScript

Giải captcha, chèn token và gửi biểu mẫu

Ví dụ Node.js bao trùm toàn bộ chu trình xử lý trên trang của bạn. Có thể dùng HTTP để lấy HTML và tham số, gửi câu trả lời và xử lý kết quả; hoặc dùng công cụ tự động (ví dụ Playwright) để mở trang, chờ captcha, gửi tham số (đúng hoặc sai), nhận kết quả qua client CapMonster Cloud, chèn token vào form và xem kết quả.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Quy trình giải captcha
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // Chèn token và gửi form (thay bằng selector bạn cần)
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('Captcha đã được giải và form đã gửi!');
})();

Bạn cũng có thể kiểm thử bằng tiện ích mở rộng CapMonster Cloud cho trình duyệt, quan sát hành vi ngay trên trang và theo dõi quá trình giải theo thời gian thực mà không cần viết code. Hỗ trợ Chrome và Firefox.

Cách tích hợp reCAPTCHA v2 vào website

Để hiểu cách captcha vận hành, logic xác thực và cách cấu hình lại, hãy xem phần này. Toàn bộ quy trình thiết lập bảo vệ được mô tả chi tiết.

1. Truy cập trang bảng điều khiển quản trị reCAPTCHA.

2. Đăng ký website mới.

Chọn loại captcha — reCAPTCHA v2 (checkbox + thử thách hoặc phiên bản vô hình).

HowTo Connect image 1

3. Lấy hai khóa:

Site key — khóa công khai dùng ở front-end;
Secret key — khóa riêng dùng ở server để xác minh.

HowTo Connect image 2

Trong phần cài đặt bạn có thể khai báo domain được phép dùng reCAPTCHA hoặc mức độ bảo mật mong muốn.

4. Ví dụ mã ở phía client. Form HTML có reCAPTCHA v2 (có thể dán trực tiếp vào body trang):

Form HTML với reCAPTCHA v2

Đối với widget checkbox:

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

Đoạn code này tải thư viện Google reCAPTCHA và tạo form gửi dữ liệu bằng POST. <div class="g-recaptcha" data-sitekey="your_site_key"></div> hiển thị widget reCAPTCHA v2 với khóa công khai của bạn. Khi nhấn “Submit”, form sẽ được gửi kèm token g-recaptcha-response để xác minh phía máy chủ.

Đối với reCAPTCHA v2 vô hình:

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

Nút <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> tự động chạy captcha vô hình, tạo token và gọi onSubmit.

Hàm onSubmit(token) nhận token và gửi form lên máy chủ để kiểm tra.

Không giống widget checkbox, người dùng không thấy captcha; việc kiểm tra diễn ra ở nền.

Nếu cần, thêm trường ẩn <input type="hidden"> để lưu token hoặc dữ liệu khác và gửi lại bằng JS. Xem thêm trong tài liệu.

5. Xác minh phản hồi ở phía server.

Ví dụ PHP

Kiểm tra phương thức và đọc dữ liệu

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('Phương thức không được phép');
}

// Lấy token reCAPTCHA
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('Captcha chưa được vượt qua');
}

Xác minh captcha qua Google

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>Form gửi thành công!</h3>";
} else {
    echo "Lỗi xác minh captcha.";
}
?>

Các lỗi thường gặp và cách xử lý

Sai site hoặc khóa

Captcha không tải hoặc trả về invalid-input-secret.

Hết thời gian giải

Máy chủ không nhận được kết quả kịp thời. Hãy tăng thời gian chờ.

Token rỗng

Có lỗi khi truyền kết quả lên trang.

Response success=false

Token đã hết hạn, bị tái sử dụng hoặc bị giả mạo. Bật ghi log request và kiểm tra trường error-codes từ Google.

Kiểm tra độ bền vững của lớp bảo vệ

Sau khi tích hợp, hãy đảm bảo hệ thống thực sự chặn được những hành động tự động.

Hãy thử gửi một yêu cầu mà không giải captcha — máy chủ phải trả về success: false.

Thực hiện kiểm thử tải (ví dụ bằng k6 hoặc JMeter) với tốc độ trên 100 yêu cầu mỗi giây — captcha phải được hiển thị đúng và hệ thống xác thực phải vẫn ổn định.

Kiểm tra phản hồi của máy chủ khi token đã hết hạn hoặc được gửi lại — phản hồi mong đợi phải là 403 Forbidden.

Khuyến nghị về bảo mật và tối ưu

Chỉ lưu trữ Secret Key trên máy chủ, không truyền nó xuống phía client.

Ghi log các mã lỗi (error-codes) để hiểu vì sao một số lần kiểm tra không vượt qua.

Thêm các liên kết đến Chính sách quyền riêng tư và Điều khoản sử dụng của Google ở cuối biểu mẫu, như giấy phép yêu cầu.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với reCAPTCHA V2, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết reCAPTCHA V2 và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu reCAPTCHA v2 →Tài liệu CapMonster Cloud (reCAPTCHA v2) →Giải reCAPTCHA v2 bằng CapMonster Cloud →Cách giải reCAPTCHA v2 bằng JavaScript với Selenium & CapMonster Cloud →Cách giải reCAPTCHA v2 bằng Python với Selenium & CapMonster Cloud →Cách giải reCAPTCHA v2 bằng C# với Selenium & CapMonster Cloud →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

reCAPTCHA v2 và CapMonster Cloud

Cách giải reCAPTCHA v2 bằng CapMonster Cloud

reCAPTCHA v2
và CapMonster Cloud