XSS跨站攻击注入漏洞解决方案

最新推荐文章于 2024-02-02 12:42:10 发布
最新推荐文章于 2024-02-02 12:42:10 发布
阅读量1k 收藏 2
点赞数

一 跨网站脚本

跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 
二 常用的XSS攻击手段和目的 
  盗用 cookie ,获取敏感信息。 
利用植入 Flash ,通过 crossdomain 权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 
利用 iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。 
  利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。 
  在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。 
三 漏洞的防御和利用 
避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤: 

    PHP的htmlentities()或是htmlspecialchars()。 
    Python的cgi.escape()。 
    ASP的Server.HTMLEncode()。 
    ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library 
    Java的xssprotect(Open Source Library)。 

    Node.js的node-validator。 

四 解决方案

我碰到的问题解决方案主要是对request请求的parameter 参数做过滤与字符转义

web.xml配置:

[html]  view plain  copy
  1. <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"  
  2.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  3.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">  
  4.   
  5.   <filter>  
  6.      <filter-name>XssSqlFilter</filter-name>  
  7.      <filter-class>framework.corenew.XssFilter</filter-class>  
  8.   </filter>  
  9.     <filter-mapping>  
  10.      <filter-name>XssSqlFilter</filter-name>  
  11.      <url-pattern>/*</url-pattern>  
  12.      <dispatcher>REQUEST</dispatcher>  
  13.   </filter-mapping>  
  14.       
  15. </web-app>  
XssFilter:

[java]  view plain  copy
  1. package framework.corenew;  
  2.   
  3. import java.io.IOException;  
  4. import java.util.Enumeration;  
  5. import java.util.regex.Pattern;  
  6.   
  7. import javax.servlet.Filter;  
  8. import javax.servlet.FilterChain;  
  9. import javax.servlet.FilterConfig;  
  10. import javax.servlet.ServletException;  
  11. import javax.servlet.ServletRequest;  
  12. import javax.servlet.ServletResponse;  
  13. import javax.servlet.http.HttpServletRequest;  
  14.   
  15. import business.sysinfo.model.User;  
  16.   
  17. /** 
  18.  * <code>{@link CharLimitFilter}</code> 
  19.  * 
  20.  * 拦截防止sql注入 
  21.  * 
  22.  * @author Administrator 
  23.  */  
  24. public class XssFilter implements Filter {  
  25.   
  26.     FilterConfig filterConfig = null;  
  27.   
  28.     public void init(FilterConfig filterConfig) throws ServletException {  
  29.         this.filterConfig = filterConfig;  
  30.     }  
  31.   
  32.     public void destroy() {  
  33.         this.filterConfig = null;  
  34.     }  
  35.   
  36.     public void doFilter(ServletRequest request, ServletResponse response,  
  37.             FilterChain chain) throws IOException, ServletException {  
  38.           
  39.   
  40.         chain.doFilter(new XssHttpServletRequestWrapperNew(  
  41.                     (HttpServletRequest) request), response);  
  42.    
  43.   
  44.     }  
  45.   
  46.       
  47.   
  48.   
  49.   
  50. }  

XssHttpServletRequestWrapperNew:

[java]  view plain  copy
  1. package com.csnt.ecs.core.security.filter;  
  2.   
  3. import java.text.CharacterIterator;  
  4. import java.text.StringCharacterIterator;  
  5. import java.util.regex.Pattern;  
  6.   
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletRequestWrapper;  
  9.   
  10. public class XssHttpServletRequestWrapperNew extends HttpServletRequestWrapper {  
  11.   
  12.     HttpServletRequest orgRequest = null;  
  13.   
  14.     public XssHttpServletRequestWrapperNew(HttpServletRequest request) {  
  15.         super(request);  
  16.         orgRequest = request;  
  17.     }  
  18.   
  19.     /** 
  20.      * 覆盖getParameter方法,将参数名和参数值都做xss过滤。 
  21.      * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取 
  22.      * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
  23.      */  
  24.     @Override  
  25.     public String getParameter(String name) {  
  26.         String value = super.getParameter(xssEncode(name));  
  27.         if (value != null) {  
  28.             value = xssEncode(value);  
  29.             value = HTMLEncode(value);  
  30.         }  
  31.         return value;  
  32.     }  
  33.   
  34.     /** 
  35.      * 对一些特殊字符进行转义 
  36.      *  
  37.      *  
  38.      */  
  39.     public static String HTMLEncode(String aText) {  
  40.         final StringBuilder result = new StringBuilder();  
  41.         final StringCharacterIterator iterator = new StringCharacterIterator(  
  42.                 aText);  
  43.         char character = iterator.current();  
  44.         while (character != CharacterIterator.DONE) {  
  45.             if (character == '<') {  
  46.                 result.append("<");  
  47.             } else if (character == '>') {  
  48.                 result.append(">");  
  49.             } else if (character == '&') {  
  50.                 result.append("&");  
  51.             } else if (character == '\"') {  
  52.                 result.append(""");  
  53.             } else {  
  54.                 // the char is not a special one  
  55.                 // add it to the result as is  
  56.                 result.append(character);  
  57.             }  
  58.             character = iterator.next();  
  59.         }  
  60.         return result.toString();  
  61.     }  
  62.   
  63.     /** 
  64.      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取 
  65.      * getHeaderNames 也可能需要覆盖 
  66.      */  
  67.     @Override  
  68.     public String getHeader(String name) {  
  69.   
  70.         String value = super.getHeader(xssEncode(name));  
  71.         if (value != null) {  
  72.             value = xssEncode(value);  
  73.         }  
  74.         return value;  
  75.     }  
  76.   
  77.     /** 
  78.      * 将容易引起xss漏洞的半角字符直接替换成全角字符 
  79.      * 目前xssProject对注入代码要求是必须开始标签和结束标签(如<script></script>)正确匹配才能解析,否则报错;因此只能替换调xssProject换为自定义实现 
  80.      * @param s 
  81.      * @return 
  82.      */  
  83.     private static String xssEncode(String s) {  
  84.         //  
  85.         // if (s == null || s.isEmpty()) {  
  86.         // return s;  
  87.         // }  
  88.         //  
  89.         // StringReader reader = new StringReader(s);  
  90.         // StringWriter writer = new StringWriter();  
  91.         // try {  
  92.         // HTMLParser.process(reader, writer, new XSSFilter(), true);  
  93.         //  
  94.         // String result = writer.toString();  
  95.         //  
  96.         // System.out.println("xssEncode-------------------------" + s + " = "  
  97.         // + result);  
  98.         //  
  99.         // return result;  
  100.         // } catch (NullPointerException e) {  
  101.         // return s;  
  102.         // } catch (Exception ex) {  
  103.         // ex.printStackTrace();  
  104.         // }  
  105.         //  
  106.         // return null;  
  107.         if (s == null || s.isEmpty()) {  
  108.             return s;  
  109.         }  
  110.   
  111.         String result = stripXSS(s);  
  112.         if (null != result) {  
  113.             result = escape(result);  
  114.         }  
  115.   
  116.         return result;  
  117.   
  118.     }  
  119.   
  120.     public static String escape(String s) {  
  121.         StringBuilder sb = new StringBuilder(s.length() + 16);  
  122.         for (int i = 0; i < s.length(); i++) {  
  123.             char c = s.charAt(i);  
  124.             switch (c) {  
  125.             case '>':  
  126.                 sb.append('>');// 全角大于号  
  127.                 break;  
  128.             case '<':  
  129.                 sb.append('<');// 全角小于号  
  130.                 break;  
  131.             case '\'':  
  132.                 sb.append('‘');// 全角单引号  
  133.                 break;  
  134.             case '\"':  
  135.                 sb.append('“');// 全角双引号  
  136.                 break;  
  137.             case '\\':  
  138.                 sb.append('\');// 全角斜线  
  139.                 break;  
  140.             case '%':  
  141.                 sb.append('%'); // 全角冒号  
  142.                 break;  
  143.             default:  
  144.                 sb.append(c);  
  145.                 break;  
  146.             }  
  147.   
  148.         }  
  149.         return sb.toString();  
  150.     }  
  151.   
  152.     private static String stripXSS(String value) {  
  153.         if (value != null) {  
  154.             // NOTE: It's highly recommended to use the ESAPI library and  
  155.             // uncomment the following line to  
  156.             // avoid encoded attacks.  
  157.             // value = ESAPI.encoder().canonicalize(value);  
  158.             // Avoid null characters  
  159.             value = value.replaceAll("""");  
  160.             // Avoid anything between script tags  
  161.             Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",  
  162.                     Pattern.CASE_INSENSITIVE);  
  163.             value = scriptPattern.matcher(value).replaceAll("");  
  164.             // Avoid anything in a src='...' type of expression  
  165.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",  
  166.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  167.                             | Pattern.DOTALL);  
  168.             value = scriptPattern.matcher(value).replaceAll("");  
  169.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",  
  170.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  171.                             | Pattern.DOTALL);  
  172.             value = scriptPattern.matcher(value).replaceAll("");  
  173.             // Remove any lonesome </script> tag  
  174.             scriptPattern = Pattern.compile("</script>",  
  175.                     Pattern.CASE_INSENSITIVE);  
  176.             value = scriptPattern.matcher(value).replaceAll("");  
  177.             // Remove any lonesome <script ...> tag  
  178.             scriptPattern = Pattern.compile("<script(.*?)>",  
  179.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  180.                             | Pattern.DOTALL);  
  181.             value = scriptPattern.matcher(value).replaceAll("");  
  182.             // Avoid eval(...) expressions  
  183.             scriptPattern = Pattern.compile("eval\\((.*?)\\)",  
  184.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  185.                             | Pattern.DOTALL);  
  186.             value = scriptPattern.matcher(value).replaceAll("");  
  187.             // Avoid expression(...) expressions  
  188.             scriptPattern = Pattern.compile("expression\\((.*?)\\)",  
  189.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  190.                             | Pattern.DOTALL);  
  191.             value = scriptPattern.matcher(value).replaceAll("");  
  192.             // Avoid javascript:... expressions  
  193.             scriptPattern = Pattern.compile("javascript:",  
  194.                     Pattern.CASE_INSENSITIVE);  
  195.             value = scriptPattern.matcher(value).replaceAll("");  
  196.             // Avoid vbscript:... expressions  
  197.             scriptPattern = Pattern.compile("vbscript:",  
  198.                     Pattern.CASE_INSENSITIVE);  
  199.             value = scriptPattern.matcher(value).replaceAll("");  
  200.             // Avoid οnlοad= expressions  
  201.             scriptPattern = Pattern.compile("onload(.*?)=",  
  202.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  203.                             | Pattern.DOTALL);  
  204.             value = scriptPattern.matcher(value).replaceAll("");  
  205.   
  206.             scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",  
  207.                     Pattern.CASE_INSENSITIVE);  
  208.             value = scriptPattern.matcher(value).replaceAll("");  
  209.   
  210.             scriptPattern = Pattern.compile("</iframe>",  
  211.                     Pattern.CASE_INSENSITIVE);  
  212.             value = scriptPattern.matcher(value).replaceAll("");  
  213.             // Remove any lonesome <script ...> tag  
  214.             scriptPattern = Pattern.compile("<iframe(.*?)>",  
  215.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  216.                             | Pattern.DOTALL);  
  217.             value = scriptPattern.matcher(value).replaceAll("");  
  218.         }  
  219.         return value;  
  220.     }  
  221.   
  222.     /** 
  223.      * 获取最原始的request 
  224.      *  
  225.      * @return 
  226.      */  
  227.     public HttpServletRequest getOrgRequest() {  
  228.         return orgRequest;  
  229.     }  
  230.   
  231.     /** 
  232.      * 获取最原始的request的静态方法 
  233.      *  
  234.      * @return 
  235.      */  
  236.     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
  237.         if (req instanceof XssHttpServletRequestWrapperNew) {  
  238.             return ((XssHttpServletRequestWrapperNew) req).getOrgRequest();  
  239.         }  
  240.   
  241.         return req;  
  242.     }  
  243.   
  244. }  
原博: http://blog.csdn.net/a364726306/article/details/51917204
William.Wangmy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS漏洞和sql注入解决方案
04-17
XSS漏洞和sql注入解决方案 傻瓜试文档,拷贝就可以了,通用版本
彻底解决Spring MVC XSS注入问题
热门推荐
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
链接或框架注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-02 785
链接或框架注入漏洞原理以及修复方法
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1694
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
常用解决跨站脚本(XSS) 和 代码注入思路
budongfengqing的博客
08-09 464
常用解决跨站脚本和代码注入思路
XSS注入漏洞解决方法(高风险)
weixin_43922510的博客
08-15 1万+
漏洞描述 攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 漏洞验证 通过在页面中的留言板,提交框,录入信息框等能够提交参数的地方,尝试注入相关xss代码测试,能够成功执行对应代码功能则存在问题,可能造成流量劫持,篡改、删除页面信息,获取用户cookie信息,盗取账号等不良影响。 修复建议 过滤输入的数...
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4236
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
xv7676的博客
05-10 868
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊。
Web前端安全系列之:XSS攻防
qq_44005305的博客
01-15 834
Web 攻击技术的发展也可以分为几个阶段。在 Web 1.0 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--XSS跨站脚本攻击)。伴随着 Web 2.0 的兴起,XSS、CSRF 等攻击已经变得更为强大。
Spring RCE 漏洞
归零安全(transnul)
03-30 417
​本文由Scynull编译,校对,转载请注明。 免责申明 归零安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! JDK版本号排查 1.JDK版本排查 在业务系统的运行服务器上,执行“java -version”命令
XSS 注入漏洞处理
布袋和尚
04-29 1115
今年是进入网络安全行业第1年,之前总是道听途说各种漏洞,不以为然。。前一阵子才切身体会到了漏洞,嗯,也是自己造成的,就是XSS注入漏洞。 该漏洞的意思是攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 常见的场景是在网页中提交一些文本,如果文本如下: <script>alert(“1”)</script > 提交之后,网页会弹出对话框,显示“1”。 解决这个问题的办
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Web 应用程序中的跨站点脚本 (XSS) 和 SQL 注入攻击检测-研究论文
06-09
但是现在有各种扫描器漏洞工具可用,因此如果我们知道攻击,那么我们可以找出 Web 应用程序中是否存在攻击,然后能够找到问题的解决方案并保护它们免受攻击者的侵害。 在工具的帮助下,我们可以发现漏洞的类型主要...
CSRF(跨站请求伪造)详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
2021数学建模美赛C题代码.zip
04-24
最全的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
这是一个保存Springboot+MyBaits项目的仓库.zip
最新发布
04-24
springboot框架 一、Spring Boot基础应用 Spring Boot特征 概念: 约定优于配置,简单来说就是你所期待的配置与约定的配置一致,那么就可以不做任何配置,约定不符合期待时才需要对约定进行替换配置。 特征: 1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖中,这样就可以一次性添加到项目的Maven或Gradle构建中。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值注入IOC容器。 3.自动配置:SpringBoot的自动配置特性利用了Spring对条件化配置的支持,合理地推测应用所需的bean并自动化配置他们。 4.使部署变得简单,SpringBoot内置了三种Servlet容器,Tomcat,Jetty,undertow.我们只需要一个Java的运行环境就可以跑SpringBoot的项目了
课设&大作业-毕业设计精品课程网站,采用的技术是 SSM 框架和 Shiro.zip
04-24
【资源说明】【毕业设计】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步!
json格式xss漏洞的方法
04-29
JSON 格式的 XSS 漏洞,是指攻击者利用前端服务返回的 JSON 格式数据,在页面中成功注入恶意代码实现攻击的一种方式。 攻击方法主要有两种: 1. 直接注入 攻击者在 JSON 格式的数据中,掺杂恶意代码,例如: ``` { "name": "张三", "age": "<script>alert('XSS攻击')</script>" } ``` 当服务端返回这段 JSON 数据,渲染到前端页面使用时,恶意代码会被成功执行。 2. 利用 JSONP JSONP 是一种跨域请求的解决方案,其利用 script 标签可以跨域加载 JavaScript 的特性,但同时也引发了一些安全问题。 攻击者可以通过 JSONP 发送一个请求,将自己的恶意代码作为回调函数的参数传递过来。例如: ``` <script src="http://www.targetwebsite.com/getData?callback=evilFunc"></script> <script> function evilFunc(data) { // 执行恶意代码 } </script> ``` 当服务端返回的数据是这样的形式,就会导致恶意代码被执行。 为了防止这种攻击,我们可以采取以下措施: 1. 对从服务端返回的 JSON 数据进行过滤和校验。 2. 禁止使用 eval 函数,将 JSON 数据转换成 JavaScript 对象时,使用 JSON.parse 函数。 3. 采用 CSP 策略,限制页面中能够执行的脚本类型。 4. 避免使用 JSONP 跨域请求。如果使用了 JSONP,应该对返回的数据进行过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值