Sai lầm phổ biến
Nhiều form thêm widget captcha nhưng backend vẫn nhận request không token. Bot không cần chạy browser, chỉ cần POST thẳng vào API.
- Frontend token rỗng
- Backend không verify
- Secret thiếu nhưng vẫn cho qua
- Không có honeypot
Cloudflare security
Turnstile phải verify server-side, không phải chỉ render ngoài frontend
Captcha ngoài frontend chỉ là UI. Nếu backend không verify token hoặc silently bypass khi thiếu secret, form production vẫn mở cửa cho spam.
6 phút đọcCách triển khai đúng
Frontend render Turnstile bằng site key public, gửi token về API. Backend dùng secret key gọi Cloudflare siteverify trước khi gửi email.
- Site key public
- Secret key server-side
- Fail-closed ở production
- Localhost có thể bypass để dev
ROI bảo mật
Một form liên hệ không spam giúp đội sales không phải lọc rác và giảm nguy cơ domain/email bị ảnh hưởng bởi abuse.
- Ít tin rác
- Ít thời gian lọc
- Ít request vô nghĩa
- Dễ audit hơn