[Feature] 🌈 近期的改善点暨隐匿拉取服务器设置

[SokWith]

Describe the problem related to the feature request

1、推送cookie，暴力点击过认证服务：
#273 (comment)
2、套娃过认证，部署代理服务器：
#267 (comment)

Describe the solution you'd like

目前拉取cookie的代码还是明文，容易被泄露共享，希望放在前端设置或者环境变量中

Describe alternatives you've considered

No response

Additional context

No response

[SokWith]

在我的测试域：
https://nbing.eu.org
已经部署了两种自动过验证的测试站点。

[SokWith]

推送服务器设置：
1、space复制地址：
https://huggingface.co/spaces/jokyone/vnc?duplicate=true&visibility=public
2、设置：

补充，已经可以自动运行shell了，最后1步点击运行shell就不是必须的了。只是由于开机自动运行了shell后sleep了，下次推送时间间隔较长，所以最好在配置好bing账号设置后手动推送1次cookie。

[b1ghawk]

我目前正在使用devv.ai，
看起来好像也还行😂

[SokWith]

我目前正在使用devv.ai， 看起来好像也还行😂

可惜我不是程序员，主要是用来玩，也让身边的朋友玩，看重的还是文稿、翻译、画图这方面的能力。
测试了一下，好像没这方面的能力

[Harry-zklcdc]

需要我做的工作大概就是

1. 重写套娃代理？
2. 新开一个专门用于 推送/拉取 已过验证的 Cookie 的项目？

[SokWith]

需要我做的工作大概就是

1. 重写套娃代理？
2. 新开一个专门用于 推送/拉取 已过验证的 Cookie 的项目？

辛苦一下。
1、套娃代理比较简单，优化一下代码，不会影响逻辑；
2、拉取cookie我的想法还是在项目内开一个存取服务，即能存储推送过来的cookie，又直接内部调用已存储的cookie，就是在已有的cookie存取逻辑上多一个路径（目前的路径有本站cookie（目前调用js加载就是利用的这个）、前端输入、环境变量读取）。

[Harry-zklcdc]

@SokWith @b1ghawk 目前有没有可用接入点
我在开发 golang 的 bing2openaiAPI 的 lib 库（将 bing 的 chat/image 生成转化为 openai 格式），需要测试使用

[SokWith]

@SokWith @b1ghawk 目前有没有可用接入点 我在开发 golang 的 bing2openaiAPI 的 lib 库（将 bing 的 chat/image 生成转化为 openai 格式），需要测试使用

可用的接入点是什么？干净的ip吗？
从这段时间的结果看，再纯净的ip一旦公测就会被污染，所以还得走认证的道路。不知道我那2个套娃自动过认证的接入点是否符合你的要求：

https://cfree.nbing.eu.org (含 turing 和 wss） PS:可以完全把这个站点视为官方站点，其过认证的方式是和官方一致的。
https://bing.cf03-b29.workers.dev （仅 turing ，用在huggingface网络（cloudflare相关）上需要先反代一下）
这两个接入点的create都是用的vercel的网络出口，可能是用的人比较少，相对还是比较稳定的。

代理ip地址池也许是一个方法：
@Hansimov Hansimov/bing-chat-api#4 (comment)

[Harry-zklcdc]

可用的接入点是什么？干净的ip吗？ 从这段时间的结果看，再纯净的ip一旦公测就会被污染，所以还得走认证的道路。不知道我那2个套娃自动过认证的接入点是否符合你的要求：

https://cfree.nbing.eu.org (含 turing 和 wss） https://bing.cf03-b29.workers.dev （仅 turing ，用在huggingface网络（cloudflare相关）上需要先反代一下） 这两个接入点的create都是用的vercel的网络出口，可能是用的人比较少，相对还是比较稳定的。

代理ip地址池也许是一个方法： @Hansimov Hansimov/bing-chat-api#4 (comment)

我已经加了这个大佬的好友了，也讨论了一些可用的方法了，具体细节还在讨论

[SokWith]

https://cfree.nbing.eu.org/ (含 turing 和 wss） PS:可以完全把这个站点视为官方站点，其过认证的方式是和官方一致的。

[Harry-zklcdc]

https://cfree.nbing.eu.org/ (含 turing 和 wss） PS:可以完全把这个站点视为官方站点，其过认证的方式是和官方一致的。

你的这个过验证方式怎么实现的？

[SokWith]

目前而言，只要过了认证，无论是匿名账户还是登录账户，先过认证后，WSS服务都是直接通过的。现在的拦路虎是create，太多的ip被污染后就不允许create，所以才有huggingface越来越难。
目前可以顺利create的云商还是没有被大规模利用的，比如：
vercel 、render、CSB等。

[Harry-zklcdc]

就是你这个过人机验证的方式，是怎么实现的？

我看那个人机验证就跳出来了一下，就消失了，cct 的那个 Cookie 也有了

[SokWith]

就是你这个过人机验证的方式，是怎么实现的？

我看那个人机验证就跳出来了一下，就消失了，cct 的那个 Cookie 也有了

不好细说，只是一个小bug，小技巧，容易被封堵。一开始是 @b1ghawk 在套娃中无意发现的。

[SokWith]

目前有没有可用接入点

呵呵，我在huggingface上的帐户居然被删除了。
不得已，临时使用CSB的部署来套娃。

[Harry-zklcdc]

呵呵，我在huggingface上的帐户居然被删除了。 不得已，临时使用CSB的部署来套娃。

我的也被删了，现在是重新注册的

[b1ghawk]

目前有没有可用接入点

呵呵，我在huggingface上的帐户居然被删除了。 不得已，临时使用CSB的部署来套娃。

CSB是个啥？

[SokWith]

呵呵，我在huggingface上的帐户居然被删除了。 不得已，临时使用CSB的部署来套娃。

我的也被删了，现在是重新注册的

https://bing-sgp2.nothingnessvoid.top/
这个是那个大神的VPS，江湖救急，先挂在我自由的站点上哈。

[SokWith]

被删号了，huggingface就不香了，重新注册，还是会流量大了被删的。
还是有独立人格的VPS要香一些。
有套娃功能，就可以套别人的站点了。

[Harry-zklcdc]

Golang 的 NewBing 库我写好了，什么时候整合过来这边就行了
https://github.com/Harry-zklcdc/bing-lib

[SokWith]

Golang 的 NewBing 库我写好了，什么时候整合过来这边就行了 https://github.com/Harry-zklcdc/bing-lib

代码小白看不懂，汗！
始终没明白的是，自编API要如何过认证？这个proxy项目是代理，直接用的是官方的API，所以在前端运行的时候会加载官方的过认证的API，也就有利用的途径。如果自编API，失去前端加载core.js的动作，就没有了过认证的API了，或者即使再编写一个过认证的模块（就如同早期的NewBingGoGo项目），如何做到和官方的是一致的？

https://bing.cf03-b29.workers.dev/ （仅 turing ，用在huggingface网络（cloudflare相关）上需要先反代一下）
这个节点就是专门用来过认证的，不知道在自编API项目上有没有效果？

[Harry-zklcdc]

代码小白看不懂，汗！ 始终没明白的是，自编API要如何过认证？这个proxy项目是代理，直接用的是官方的API，所以在前端运行的时候会加载官方的过认证的API，也就有利用的途径。如果自编API，失去前端加载core.js的动作，就没有了过认证的API了，或者即使再编写一个过认证的模块（就如同早期的NewBingGoGo项目），如何做到和官方的是一致的？

https://bing.cf03-b29.workers.dev/ （仅 turing ，用在huggingface网络（cloudflare相关）上需要先反代一下）
这个节点就是专门用来过认证的，不知道在自编API项目上有没有效果？

可以支持自定义 Sydney 和 createConversation 地址，过验证还是用我之前的那个项目，自动过验证

[SokWith]

代码小白看不懂，汗！ 始终没明白的是，自编API要如何过认证？这个proxy项目是代理，直接用的是官方的API，所以在前端运行的时候会加载官方的过认证的API，也就有利用的途径。如果自编API，失去前端加载core.js的动作，就没有了过认证的API了，或者即使再编写一个过认证的模块（就如同早期的NewBingGoGo项目），如何做到和官方的是一致的？

https://bing.cf03-b29.workers.dev/ （仅 turing ，用在huggingface网络（cloudflare相关）上需要先反代一下）
这个节点就是专门用来过认证的，不知道在自编API项目上有没有效果？

可以支持自定义 Sydney 和 createConversation 地址，过验证还是用我之前的那个项目，自动过验证

那个过验证的服务不是挑部署ip吗？感觉是把cookie发送到干净的ip上让官方授信，这样就很容易污染ip造成服务不稳定。
有没有可能还是模拟官方过认证的方式，仍然加载一下官方的API，截获官方的认证要求后就调用官方的API（其实已经改写了host）去过认证，这个套娃过认证就是专门来干这事的。

[Harry-zklcdc]

那个过验证的服务不是挑部署ip吗？感觉是把cookie发送到干净的ip上让官方授信，这样就很容易污染ip造成服务不稳定。 有没有可能还是模拟官方过认证的方式，仍然加载一下官方的API，截获官方的认证要求后就调用官方的API（其实已经改写了host）去过认证，这个套娃过认证就是专门来干这事的。

那个自动过验证的代码，就是 模拟官方过验证 实现的

至于在用户主机上过验证，那个基本没可能性，会造成无效域的问题（因为国内会调到 cn.bing.com）
或者就是拦截产生的CF认证信息，让专门的机器去自动过验证后，再返回过验证的 cookie，不过这样和自动过验证就没差别了

[Harry-zklcdc]

解决了在 HF 上部署 pass 服务的问题，具体部署说明，等我发大版本更新（预计明天推送）

测试点：https://harry-zklcdc-go-bingai-pass.hf.space/

[SokWith]

解决了在 HF 上部署 pass 服务的问题，具体部署说明，等我发大版本更新（预计明天推送）

测试点：https://harry-zklcdc-go-bingai-pass.hf.space/

甚好。三管齐下，巨硬也得微软。

[Harry-zklcdc]

你可以试试最新版本了，应该现在是能带着账号过验证的（起码我可以），而且更新了一键登录功能，应该会比这个推送 Cookie 的方法优雅

[SokWith]

你可以试试最新版本了，应该现在是能带着账号过验证的（起码我可以），而且更新了一键登录功能，应该会比这个推送 Cookie 的方法优雅

就是用的最新版本。账号登录需要脚本，就难以实现多终端使用。
这个项目的最大用处是要方便移动端使用，电脑端由于有方便的破壁垒插件，是可以直接用官网的。
而移动端，不但插件难搞，cookie也难输入，所以，利用这种cookie转发服务器，就非常方便了。特别是再把这个pass地址短网址化，随时可以在设置里面输入pass服务器地址来获得cookie而不影响原部署。

顺带去搞了个短网址 ： https://reurl.cc/137GEY 测试了一下，这个人机验证服务器不支持短网址，是由于短网址是GET访问，人机验证服务器是POST请求所致的吧？

[Harry-zklcdc]

移动端我也写了解决方法了：https://github.com/Harry-zklcdc/go-proxy-bingai/wiki/%E8%8E%B7%E5%8F%96-Cookie#%E4%B8%80%E9%94%AE%E7%99%BB%E5%BD%95

没办法，现在的浏览器权限限制太严格了，放几年前就不用写脚本了

[SokWith]

移动端我也写了解决方法了：https://github.com/Harry-zklcdc/go-proxy-bingai/wiki/%E8%8E%B7%E5%8F%96-Cookie#%E4%B8%80%E9%94%AE%E7%99%BB%E5%BD%95

没办法，现在的浏览器权限限制太严格了，放几年前就不用写脚本了

用这种转发cookie，就完全不要考虑浏览器限制了。微信浏览器都可以用。遗憾的是，目前的人机验证服务器不支持短网址

[SokWith]

目前过认证是通过截流challenge自建认证服务器来获得cct,
新版本的认证服务器速度已经接近于官方速度（较原用浏览器提升很大）,与套娃cct几乎一致了，但由于截流的缘故，不能直接套娃了，所以我修改了一下challenge.go，开了一个口子，就可以套娃进去了：

https://github.com/SokWith/go-bingai/blob/master/api/challenge.go

这个口子只对部署版有效，API还是得使用认证服务器，所以只能是开口子。建议大佬 @Harry-zklcdc 增加进main中去。

另外,其实官方过认证还有1种方式就是超级sydney，通过它不会跳验证。我之前发现一个，原理提交在 #371 (comment)
可以按照这个方法，在cf上部署一个超级sydney，
https://prosydney.nbing.eu.org
使用这个聊天服务器，几乎就不会跳认证了。
这样处理后，部署版就有双重保障：

1、超级sydney不跳认证；
2、套娃过认证或者cct服务器过认证；

[Harry-zklcdc]

你看我代码，已经是支持套娃的了

[Harry-zklcdc]

手机版的UA实在不想去搞

[Harry-zklcdc]

目前我这还有一个想法就是直接跳原版的认证，然后本地通过劫持强制使其不会跳转到 cn.bing.com，这个我有空实验一下

[SokWith]

你看我代码，已经是支持套娃的了

用BING_BASE_URL套的，但是又用

http.HandleFunc("/turing/captcha/challenge", helper.Middleware(api.ChallengeHandler))

屏蔽了套娃认证的路由，所以我的代码才在这个路由里面拉回来。

[Harry-zklcdc]

go-proxy-bingai/api/challenge.go

Lines 89 to 111 in e9c79dd

	func ChallengeHandler(w http.ResponseWriter, r *http.Request) {
	if !helper.CheckAuth(r) {
	helper.UnauthorizedResult(w)
	return
	}
	if r.Method != "GET" {
	helper.CommonResult(w, http.StatusMethodNotAllowed, "Method Not Allowed", nil)
	return
	}
	if r.URL.Query().Get("h") != "" {
	tmpReq := r.URL.Query()
	tmpReq.Del("h")
	r.URL.RawQuery = tmpReq.Encode()
	common.NewSingleHostReverseProxy(common.BING_URL).ServeHTTP(w, r)
	return
	}
	w.Header().Set("Content-Type", "text/html; charset=utf-8")
	w.Write([]byte(fmt.Sprintf(respChallengeHtml, r.URL.Query().Get("iframeid"))))
	}

需要配合最新版的bypass使用

[SokWith]

if r.URL.Query().Get("h") != "" {

始终没明白这个 h 从哪儿来的

[Harry-zklcdc]

if r.URL.Query().Get("h") != "" {

始终没明白这个 h 从哪儿来的

所以要配合最新版的bypass使用

[SokWith]

//超级sydney 的worker.js //https://prosydney.nbing.eu.org
export default {
  async handleOptions(request) {
    const corsHeaders = {
      'Access-Control-Allow-Origin': '*',
      'Access-Control-Allow-Methods': 'GET,HEAD,POST,OPTIONS',
      'Access-Control-Max-Age': '86400',
    }
    if (
      request.headers.get('Origin') !== null &&
      request.headers.get('Access-Control-Request-Method') !== null &&
      request.headers.get('Access-Control-Request-Headers') !== null
    ) {
      return new Response(null, {
        headers: {
          ...corsHeaders,
          'Access-Control-Allow-Headers': request.headers.get(
            'Access-Control-Request-Headers'
          ),
        },
      })
    } else {
      return new Response(null, {
        headers: {
          Allow: 'GET, HEAD, POST, OPTIONS',
        },
      })
    }
  },
  async handleWebSocket(request) {
 // 如果需要，可以将serverUrl替换为您的服务器地址
  let serverUrl = "https://sydney.bing.com";
   const currentUrl = new URL(request.url);
   const fetchUrl = new URL(serverUrl + currentUrl.pathname + currentUrl.search);
  let serverRequest = new Request(fetchUrl, request);
  serverRequest.headers.set('origin', 'https://www.bing.com');
  serverRequest.headers.set('referer', 'https://www.bing.com/search?q=Bing+AI');
const cookie = serverRequest.headers.get('Cookie') || '';
let cookies = cookie; 
if (!cookie.includes('_U=')) {
    cookies += '; _U=' + 'xxxxxx';
  }
  serverRequest.headers.set('Cookie', cookies);
  serverRequest.headers.set('user-agent',  'Mozilla/5.0 (iPhone; CPU iPhone OS 15_7 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.7 Mobile/15E148 Safari/605.1.15 BingSapphire/1.0.410427012');
const res =  await fetch(serverRequest);
const newRes = new Response(res.body, res);
newRes.headers.set('Access-Control-Allow-Methods', 'GET,HEAD,POST,OPTIONS');
newRes.headers.set('Access-Control-Allow-Credentials', 'true');
newRes.headers.set('Access-Control-Allow-Headers', '*');

//调试输出连接ip
 // 创建一个新的URL对象，指向http://ipecho.net/plain
 let Ipurl = new URL("http://ipecho.net/plain")
 // 使用fetch函数获取该URL的响应
 let Ipresponse = await fetch(Ipurl)
 // 如果响应状态码为200，表示成功
//   if (Ipresponse.status == 200) {
   // 获取响应的文本内容
let textip = await Ipresponse.text()
newRes.headers.set('TestLog',"This is Sydney@" + textip);
const Guestip =  request.headers.get('cf-connecting-ip');
newRes.headers.set('Guestip',Guestip); 

  return newRes;
  },
  async fetch(request) {
    if (request.method === 'OPTIONS') {
      return this.handleOptions(request)
    }
    const uri = new URL(request.url)
    const upgradeHeader = request.headers.get('Upgrade')
    if (upgradeHeader === 'websocket') {
      return this.handleWebSocket(request)
    }
    uri.hostname = 'sydney.bing.com'
    return fetch(new Request(uri.toString(), request))
  },
}

手机版的UA实在不想去搞

这是worker部署的，要是可以改成pages部署就不容易受域名限制了。

[SokWith]

if r.URL.Query().Get("h") != "" {

始终没明白这个 h 从哪儿来的

所以要配合最新版的bypass使用

意思是h是bypass服务器添加的？让服务器用新的查询却官方认证获得cct？现在的bypass服务器不返回cct了吗？

[Harry-zklcdc]

手机版UA不确定有没有什么阉割，所以我不太想加上去

[Harry-zklcdc]

意思是h是bypass服务器添加的？让服务器用新的查询却官方认证获得cct？现在的bypass服务器不返回cct了吗？

为的就是类似套娃代理，让过验证的IP是bingai服务器的IP，而不是人机验证服务器的IP

[SokWith]

意思是h是bypass服务器添加的？让服务器用新的查询却官方认证获得cct？现在的bypass服务器不返回cct了吗？

为的就是类似套娃代理，让过验证的IP是bingai服务器的IP，而不是人机验证服务器的IP

确实更好一些。之前总觉得cct的有效性与获得的网络地址有关系。

[Harry-zklcdc]

目前我这还有一个想法就是直接跳原版的认证，然后本地通过劫持强制使其不会跳转到 cn.bing.com，这个我有空实验一下

没用，之后有办法再想想吧

[SokWith]

prosydney已改写pages代码： https://prosyd.pages.dev
人人都可以随意部署了

// pages/functions/_middleware.js

export async function onRequest(context) {
  const { request, env } = context;

  // 处理 CORS 请求
  if (request.method === 'OPTIONS') {
    return handleOptions(request);
  }

  // 处理 WebSocket 请求
  if (request.headers.get('Upgrade') === 'websocket') {
    return handleWebSocket(request);
  }

  // 处理普通 HTTP 请求
  return handleRequest(request, env);
}

function handleOptions(request) {
  // 设置 CORS 头部
  const corsHeaders = {
    'Access-Control-Allow-Origin': '*',
    'Access-Control-Allow-Methods': 'GET,HEAD,POST,OPTIONS',
    'Access-Control-Allow-Headers': request.headers.get('Access-Control-Request-Headers') || '',
    'Access-Control-Max-Age': '86400',
  };

  return new Response(null, { headers: corsHeaders });
}

async function handleWebSocket(request) {
  // 在这里添加您的 WebSocket 处理逻辑
  let serverUrl = "https://sydney.bing.com";
  const currentUrl = new URL(request.url);
  const fetchUrl = new URL(serverUrl + currentUrl.pathname + currentUrl.search);
  let serverRequest = new Request(fetchUrl, request);
  serverRequest.headers.set('origin', 'https://www.bing.com');
  serverRequest.headers.set('referer', 'https://www.bing.com/search?q=Bing+AI');
  const cookie = serverRequest.headers.get('Cookie') || '';
  let cookies = cookie; 
  if (!cookie.includes('_U=')) {
      cookies += '; _U=' + 'xxxxxx';
  }
  serverRequest.headers.set('Cookie', cookies);
  serverRequest.headers.set('user-agent', 'Mozilla/5.0 (iPhone; CPU iPhone OS 15_7 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.7 Mobile/15E148 Safari/605.1.15 BingSapphire/1.0.410427012');
  const res = await fetch(serverRequest);
  const newRes = new Response(res.body, res);
  newRes.headers.set('Access-Control-Allow-Methods', 'GET,HEAD,POST,OPTIONS');
  newRes.headers.set('Access-Control-Allow-Credentials', 'true');
  newRes.headers.set('Access-Control-Allow-Headers', '*');

  // 调试输出连接 IP
  let Ipurl = new URL("http://ipecho.net/plain");
  let Ipresponse = await fetch(Ipurl);
  let textip = await Ipresponse.text();
  newRes.headers.set('TestLog', "This is Sydney@" + textip);
  const Guestip = request.headers.get('cf-connecting-ip');
  newRes.headers.set('Guestip', Guestip); 

  return newRes;
}


async function handleRequest(request, env) {
  // 在这里添加您的 HTTP 请求处理逻辑
  const uri = new URL(request.url)
   uri.hostname = 'sydney.bing.com'
  return fetch(new Request(uri.toString(), request))
}

建议将这个sydney服务器作为

[Harry-zklcdc]

其实只要改改worker.js的代码就行了

go-proxy-bingai/cloudflare/worker.js

Lines 569 to 578 in e9c79dd

	const oldUA = request.headers.get('user-agent') || '';
	const isMobile = oldUA.includes('Mobile') || oldUA.includes('Android');
	if (isMobile) {
	newHeaders.set(
	'user-agent',
	'Mozilla/5.0 (iPhone; CPU iPhone OS 15_7 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.7 Mobile/15E148 Safari/605.1.15 BingSapphire/1.0.410427012'
	);
	} else {
	newHeaders.set('user-agent', 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.35');
	}

[Harry-zklcdc]

我的观点依旧是，不建议推广使用，依旧选择正面硬钢，不然哪天巨硬看到了，修复，那就全没得玩了

[SokWith]

我的观点依旧是，不建议推广使用，依旧选择正面硬钢，不然哪天巨硬看到了，修复，那就全没得玩了

也是，那帮人宁可不要市场占有率，一直以来都在不断的杀敌一百自损一万的升级封杀手段。

[Harry-zklcdc]

也是，那帮人宁可不要市场占有率，一直以来都在不断的杀敌一百自损一万的升级封杀手段。

毕竟巨硬砍刀部不是浪得虚名的

“喜欢吗？砍了！”

[SokWith]

分享，同一时刻，同一代理站点，普通模式和无痕模式下的bing核心CIB文件版本居然不同？
官方站点与无痕一致，而普通模式下的版本更在未来，几乎是提前加载了明天的版本：

代理官方站点的代码在：
https://github.com/jokyo3/sydney
还有一些严重BUG没有解决。 @Harry-zklcdc @b1ghawk 两位大佬能否抽空看看，先谢了。

[Harry-zklcdc]

正常，实验表明，不同浏览器，不同 MUID，不同 IP 都会加载不一样的 CIB 文件，Bing 使用的是 SSR（服务端渲染）

[SokWith]

推送服务器设置： 1、space复制地址： https://huggingface.co/spaces/jokyone/vnc?duplicate=true&visibility=public 2、设置：

补充，已经可以自动运行shell了，最后1步点击运行shell就不是必须的了。只是由于开机自动运行了shell后sleep了，下次推送时间间隔较长，所以最好在配置好bing账号设置后手动推送1次cookie。

#445 (comment)
Huggingface已经不能生成cct了。mark。

[Harry-zklcdc]

#445 (comment) Huggingface已经不能生成cct了。mark。

HF演示站还可以（）