这是一个创建于 88 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直有个困惑,在使用大模型的 Open API 的时候通常都需要经过后端去请求,为什么不能直接由前端请求呢?我知道是出于安全考虑,不能直接将 APIKEY 给暴露在前端。但是这些大模型厂家可以添加一个安全域名的功能,只有 refer 是安全域名中的域才能使用就可以解决这个问题了呢,翻遍了流行的大模型 API 文档都没有这类的配置,请问下还有别的原因么?
 | 1 whoosy 88 天前 怀疑你在钓鱼 |
 | 2 X0V0X 88 天前 refer 伪造不要太简单 |
 | 3 justfindu 88 天前 啊? 如果走转发就可以前端了. |
 | 4 ThirdFlame 88 天前 嗯 OP 做个 APi 转发把,实现下这个功能很容易。 看我分分钟不把你的 API 给偷走 刷爆 |
 | 5 echoZero 88 天前 op 做好了 记得把地址分享出来,我就学习学习。 |
 | 6 throns 88 天前 嗯?谁说不行的,但是这类产品一般是 BYOK ( Bring Your Own Key )使用自己密钥,例如沉浸式翻译、OpenAI Translator |
 | 7 deplives 88 天前  5 现在前端的技术都这么水吗? [只有 refer 是安全域名中的域才能使用就可以解决这个问题了呢] 这句话看的我一愣一愣的 |
 | 8 phobal OP 难道只有走转发这条路了么?走后端转发的话有没有好的开源项目推荐呢? go 语言的 |
 | 9 Tink PRO 这玩意如果走前端的话,分分钟房子没了啊 |
 | 10 hahiru 88 天前 3 后端有一句话是怎么说的?前端的数据一个标点符号都不能相信。 |
 | 12 meihuanyu88x 88 天前 给家人们送福利吗 |
 | 13 dcsuibian 88 天前 想起 Next.js 的高危漏洞了 |
 | 14 zgzhang 88 天前 菜 |
 | 15 mindddd 88 天前 我来帮你写转发 |
 | 16 ano 88 天前 自己用肯定可以 |
 | 17 Jesmora 88 天前 说话不经脑子,你别搞开发了,怕你不够赔 |
 | 18 mx1700 88 天前 via Android 你要不是没有任何安全意识,就是没有任何网络协议知识 |
 | 20 bgm004 88 天前 啊?贴吧里的伪人都问不出这种问题。申请 op 过一些人机验证。 |
 | 21 mandex 88 天前 得分应用场景吧。 我就是前端直接调用大模型的  。我现在做的项目只在公司内网使用,是个 electron 的客户端。登录的时候后端发一个 key ,直接拿去调用了。 公司员工也没有这么无聊,不会偷我的 key ,偷了就偷了,没多大损失。 |
| 22 phobal OP 大家轻喷啊,你们就不想要一种既安全又方便的调用方式?我当然知道其中的风险,只是抛出问题来让大家分析下有没有好的办法,因为这些大模型 API 都支持了跨域访问,既然都支持跨域了,那么再想想别的办法,比如像图片防盗链什么的不也能做到安全么。 |
 | 24 zhw2590582 88 天前 你是对的,请问你的网站是多少 |
 | 26 monkeyWie 88 天前 有没有可能市面上很多 llm 工具都是支持客户端直接调用的,当然前提是 API 要支持跨域使用 |
 | 27 newaccount 88 天前 这玩意如果能防伪,那以后都不会有钓鱼邮件了 |
 | 28 chenluo0429 88 天前 via Android 思而不学则罔 |
 | 30 relsoul 88 天前 op 有两个基础的“不合格”程序员问题 1. APIKEY 是否能存前端内 2. refer ( HTTP )知识不过关 针对第一点 楼上的各位的回答出于的想法是 APIKEY 存在前端代码内(哪怕是加密也是无效的) 目前有一些开源的聊天工具也是把 APIKEY 存前端内,但是这个 APIKEY 并不是在编译时嵌入的,而是由用户手动输入保存在 localstorage , 这样做可以**一定**程度上减少暴露风险,但是没办法杜绝 XSS 攻击。 针对第二点 HTTP 请求是可以伪造的,建议了解一下什么是 HTTP Header ,HTTP 协议是怎么发起的,非浏览器环境如何发起一个 HTTP 请求。 |
 | 31 daybreakfangyang 88 天前 前端=开源 |
 | 32 fun201108 88 天前 标题应该是:为什么前端不直接调用大模型? 用 app 就行了,反正 app 也是前端 |
Select Language