V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 883 days ago, the information mentioned may be changed or developed.
第三方 AI 服务本来前端就可以直接调用,由于跨域限制,要么自己搞个代理,要么就得走服务端调用了。
目前测试
- 文心一言
- 阿里通义千问
- 腾讯混元
都做了限制
对比来说,比如 OpenAI API,前端直接调用是可以的,当然确保本身网络通畅。
所以限制了就安全了吗?
 |
1
drymonfidelia Nov 28, 2023  1
因为国内大-厂 AI 服务的后端是搞 AI 写的不懂配置 CORS 规则
|
 |
2
leaflxh Nov 28, 2023
不知道 openai 是怎么做的
如果用户登录了 openai ,然后访问了我的网站, 我能否直接 fetch( https://openai/api, {credentials: 'include'}) ,在后台盗刷用户的额度? |
 |
3
Yadomin Nov 28, 2023 via Android
为什么会想着把一个付费的 api 暴露到前端,不怕被人刷爆吗
|
|
4
leaflxh Nov 28, 2023
看了下,基于"Authorization: Bearer $OPENAI_API_KEY"
不给跨域确实不方便 |
 |
5
leeg810312 Nov 28, 2023
直接在 HTTP header 里检查 key 的 api 都是给后端调用的,怎么可以直接给前端用
|
 |
6
MIUIOS Nov 28, 2023
前端直接套 API ? 意思就是我密钥也放前端? 你帮我还账单?🤡
|
 |
7
yumusb Nov 29, 2023
不安全。
|
|
10
leaflxh Nov 29, 2023
或许是为了防止别人做慈善,见过不少网站把 OSS 的 ak sk 放在客户端 js 直接调的
|
 |
11
cctv6 Dec 12, 2023
我也是非常不理解。
最近做了个 chrome 插件,插件需要自定义文心一言、通义千问、OpenAI 的密钥来使用。然后做好了测试的时候,发现插件只要指定了特定网站启用,访问接口的时候就会报跨域,只有 openai 能用。麻了。 十分不理解,一个对外开放调用的接口,为啥要做这个限制。 问了工单,说是为了安全,如果密钥要泄漏,怎么都能被刷。用限制前端调用的方式来来降低密钥泄漏的概率,我觉得意义真的不大。 |
Select Language