为什么国内 AI 服务都限制了跨域，但比如 OpenAI 就不做该限制

因为国内大-厂 AI 服务的后端是搞 AI 写的不懂配置 CORS 规则

不知道 openai 是怎么做的

如果用户登录了 openai ，然后访问了我的网站，
我能否直接 fetch( https://openai/api, {credentials: 'include'}) ，在后台盗刷用户的额度？

为什么会想着把一个付费的 api 暴露到前端，不怕被人刷爆吗

看了下，基于"Authorization: Bearer $OPENAI_API_KEY"

不给跨域确实不方便

直接在 HTTP header 里检查 key 的 api 都是给后端调用的，怎么可以直接给前端用

前端直接套 API ？ 意思就是我密钥也放前端？ 你帮我还账单？🤡

不安全。

@leaflxh #2 同问，不过给纯前端调用确实方便很多。

@totoro52

可以做套壳网站，让用户使用自己的 key ，后端不做存储。

或许是为了防止别人做慈善，见过不少网站把 OSS 的 ak sk 放在客户端 js 直接调的

我也是非常不理解。

最近做了个 chrome 插件，插件需要自定义文心一言、通义千问、OpenAI 的密钥来使用。然后做好了测试的时候，发现插件只要指定了特定网站启用，访问接口的时候就会报跨域，只有 openai 能用。麻了。

十分不理解，一个对外开放调用的接口，为啥要做这个限制。

问了工单，说是为了安全，如果密钥要泄漏，怎么都能被刷。用限制前端调用的方式来来降低密钥泄漏的概率，我觉得意义真的不大。