这是一个创建于 62 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直有个困惑,在使用大模型的 Open API 的时候通常都需要经过后端去请求,为什么不能直接由前端请求呢?我知道是出于安全考虑,不能直接将 APIKEY 给暴露在前端。但是这些大模型厂家可以添加一个安全域名的功能,只有 refer 是安全域名中的域才能使用就可以解决这个问题了呢,翻遍了流行的大模型 API 文档都没有这类的配置,请问下还有别的原因么?
 |
1
whoosy 62 天前
怀疑你在钓鱼
|
 |
2
X0V0X 62 天前
refer 伪造不要太简单
|
 |
3
justfindu 62 天前
啊? 如果走转发就可以前端了.
|
 |
4
ThirdFlame 62 天前
嗯 OP 做个 APi 转发把,实现下这个功能很容易。
看我分分钟不把你的 API 给偷走 刷爆 |
 |
5
echoZero 62 天前
op 做好了 记得把地址分享出来,我就学习学习。
|
 |
6
throns 62 天前
嗯?谁说不行的,但是这类产品一般是 BYOK ( Bring Your Own Key )使用自己密钥,例如沉浸式翻译、OpenAI Translator
|
 |
7
deplives 62 天前  5
现在前端的技术都这么水了吗?
[只有 refer 是安全域名中的域才能使用就可以解决这个问题了呢] 这句话看的我一愣一愣的 |
 |
8
phobal OP 难道只有走转发这条路了么?走后端转发的话有没有好的开源项目推荐呢? go 语言的
|
 |
9
Tink PRO 这玩意如果走前端的话,分分钟房子没了啊
|
 |
10
hahiru 62 天前 3
后端有一句话是怎么说的?前端的数据一个标点符号都不能相信。
|
 |
12
meihuanyu88x 62 天前
给家人们送福利吗
|
 |
13
dcsuibian 62 天前
想起 Next.js 的高危漏洞了
|
 |
14
zgzhang 62 天前
菜
|
 |
15
mindddd 62 天前
我来帮你写转发
|
 |
16
ano 62 天前
自己用肯定可以
|
 |
17
Jesmora 62 天前
说话不经脑子,你别搞开发了,怕你不够赔
|
 |
18
mx1700 62 天前 via Android
你要不是没有任何安全意识,就是没有任何网络协议知识
|
 |
20
Track13 62 天前
啊?贴吧里的伪人都问不出这种问题。申请 op 过一些人机验证。
|
 |
21
mandex 62 天前
得分应用场景吧。
我就是前端直接调用大模型的  。我现在做的项目只在公司内网使用,是个 electron 的客户端。登录的时候后端发一个 key ,直接拿去调用了。 公司员工也没有这么无聊,不会偷我的 key ,偷了就偷了,没多大损失。 |
|
22
phobal OP 大家轻喷啊,你们就不想要一种既安全又方便的调用方式?我当然知道其中的风险,只是抛出问题来让大家分析下有没有好的办法,因为这些大模型 API 都支持了跨域访问,既然都支持跨域了,那么再想想别的办法,比如像图片防盗链什么的不也能做到安全么。
|
 |
24
zhw2590582 62 天前
你是对的,请问你的网站是多少
|
 |
26
monkeyWie 62 天前
有没有可能市面上很多 llm 工具都是支持客户端直接调用的,当然前提是 API 要支持跨域使用
|
 |
27
newaccount 62 天前
这玩意如果能防伪,那以后都不会有钓鱼邮件了
|
 |
28
chenluo0429 62 天前 via Android
思而不学则罔
|
 |
30
relsoul 62 天前
op 有两个基础的“不合格”程序员问题
1. APIKEY 是否能存前端内 2. refer ( HTTP )知识不过关 针对第一点 楼上的各位的回答出于的想法是 APIKEY 存在前端代码内(哪怕是加密也是无效的) 目前有一些开源的聊天工具也是把 APIKEY 存前端内,但是这个 APIKEY 并不是在编译时嵌入的,而是由用户手动输入保存在 localstorage , 这样做可以**一定**程度上减少暴露风险,但是没办法杜绝 XSS 攻击。 针对第二点 HTTP 请求是可以伪造的,建议了解一下什么是 HTTP Header ,HTTP 协议是怎么发起的,非浏览器环境如何发起一个 HTTP 请求。 |
 |
31
daybreakfangyang 62 天前
前端=开源
|
 |
32
fun201108 62 天前
标题应该是:为什么前端不直接调用大模型?
用 app 就行了,反正 app 也是前端 |
Select Language