Spring Boot 使用 Jsoup 拦截XSS

最新推荐文章于 2023-12-27 13:29:54 发布
最新推荐文章于 2023-12-27 13:29:54 发布
阅读量618 收藏 3
点赞数
分类专栏: Java框架 文章标签: java spring boot
原文链接:https://zdran.com/20180511.html
版权

文章来源:转载以便下次可以找到:https://zdran.com/20180511.html

文章目录

目标

使用 Spring Boot 的 Filter 对参数拦截,使用 Jsoup 对 参数中的 XSS进行过滤。

工具

  • Spring Boot 2.0
  • Jsoup(可选)

实现原理

Spring Boot 的 Filter 拦截到前端的参数后进行过滤(看着是不是很简单??)。
说白了就是两个功能:参数拦截、脚本过滤。

参数拦截

想要过滤XSS首先要能拦截到前端的参数。
先写个Filter:

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XSSEscapeFilter implements Filter {  

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }  

    @Override
    public void destroy() {
    }  

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        //后面会有 XssHttpServletRequestWrapper 的代码。这个类是自己定义的
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }
}

这个Filter 是可以拦截到请求的,但是呢,如果想要对参数进行修改就需要重新定义 HttpServletRequestWrapper,只有用自定义的HttpServletRequestWrapper 才能对参数进行修改。

下面定义 XssHttpServletRequestWrapper:

import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

/**
 * 实现XSS过滤
 * Create by zdRan on 2018/5/8
 *
 * @author cm.zdran@gmail.com
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    @Override
    public String getParameter(String name) {
           // 对参数进行修改
        return name;
    }

    @Override
    public Map getParameterMap() {
           // 对参数进行修改
        return super.getParameterMap();;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] arr = super.getParameterValues(name);
        // 对参数进行修改
        return arr;
    }

    @Override
    public String getHeader(String name) {
        //对参数进行修改
        return super.getHeader(name);;
    }

    /**
     * 获取最原始的request
     *
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     *
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }
        return req;
    }

这样就能对参数进行修改了,但是,目前的情况还不能处理POST请求,或者 RequestBody 注解。当使用 RequestBody 注解时,你会发现,重写的这几个方法都没有走,说明我们没有重写全方法。
找了一些资料发现: **RequestBody注解读取参数的方法是getInputStream() ** 。
我们重写一下这个方法:

@Override
    public ServletInputStream getInputStream() throws IOException {
        BufferedReader br = new BufferedReader(new InputStreamReader(orgRequest.getInputStream()));
        String line = br.readLine();
        String result = "";
        if (line != null) {
            //对参数进行处理
        }

        return new WrappedServletInputStream(new ByteArrayInputStream(result.getBytes()));
    }

然后启动这个 Filter

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.DispatcherType;

/**
 * Create by zdRan on 2018/5/8
 *
 * @author cm.zdran@gmail.com
 */
@Configuration
public class XssFilterConfiguration {
    /**
     * xss过滤拦截器
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistrationBean() {
        FilterRegistrationBean initXssFilterBean = new FilterRegistrationBean();
        initXssFilterBean.setFilter(new XSSEscapeFilter());
        initXssFilterBean.setOrder(1);
        initXssFilterBean.setEnabled(true);
        initXssFilterBean.addUrlPatterns("/*");
        initXssFilterBean.setDispatcherTypes(DispatcherType.REQUEST);
        return initXssFilterBean;
    }
}

到这里基本上就拦截到参数了,你可以自己定义对参数的修改规则。也可以使用jsoup对XSS进行过滤

脚本过滤

使用 jsoup 对参数中的 标签进行过滤
添加依赖

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.11.3</version>
</dependency>

完整的 XssHttpServletRequestWrapper 代码:

import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

/**
 * 实现XSS过滤
 * Create by zdRan on 2018/5/8
 *
 * @author cm.zdran@gmail.com
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private HttpServletRequest orgRequest = null;
    /**
    * 配置可以通过过滤的白名单
    * /
    private static final Whitelist whitelist = new Whitelist();
    /**
     * 配置过滤化参数,不对代码进行格式化
     */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;

    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        BufferedReader br = new BufferedReader(new InputStreamReader(orgRequest.getInputStream()));
        String line = br.readLine();
        String result = "";
        if (line != null) {
            result += clean(line);
        }

        return new WrappedServletInputStream(new ByteArrayInputStream(result.getBytes()));
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        if (("content".equals(name) || name.endsWith("WithHtml"))) {
            return super.getParameter(name);
        }
        name = clean(name);
        String value = super.getParameter(name);
        if (StringUtils.isNotBlank(value)) {
            value = clean(value);
        }
        return value;
    }

    @Override
    public Map getParameterMap() {
        Map map = super.getParameterMap();
        // 返回值Map
        Map<String, String> returnMap = new HashMap<String, String>();
        Iterator entries = map.entrySet().iterator();
        Map.Entry entry;
        String name = "";
        String value = "";
        while (entries.hasNext()) {
            entry = (Map.Entry) entries.next();
            name = (String) entry.getKey();
            Object valueObj = entry.getValue();
            if (null == valueObj) {
                value = "";
            } else if (valueObj instanceof String[]) {
                String[] values = (String[]) valueObj;
                for (int i = 0; i < values.length; i++) {
                    value = values[i] + ",";
                }
                value = value.substring(0, value.length() - 1);
            } else {
                value = valueObj.toString();
            }
            returnMap.put(name, clean(value).trim());
        }
        return returnMap;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] arr = super.getParameterValues(name);
        if (arr != null) {
            for (int i = 0; i < arr.length; i++) {
                arr[i] = clean(arr[i]);
            }
        }
        return arr;
    }


    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        name = clean(name);
        String value = super.getHeader(name);
        if (StringUtils.isNotBlank(value)) {
            value = clean(value);
        }
        return value;
    }

    /**
     * 获取最原始的request
     *
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     *
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

    public String clean(String content) {
        String result = Jsoup.clean(content, "", whitelist, outputSettings);
        return result;
    }

    private class WrappedServletInputStream extends ServletInputStream {
        public void setStream(InputStream stream) {
            this.stream = stream;
        }

        private InputStream stream;

        public WrappedServletInputStream(InputStream stream) {
            this.stream = stream;
        }

        @Override
        public int read() throws IOException {
            return stream.read();
        }

        @Override
        public boolean isFinished() {
            return true;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener readListener) {
        }
    }
}

到这就算结束了,不过目前还有一个小问题。使用 Jsoup 是可以过滤掉所有的html标签,但是也有个问题,比如参数是: {“name”:"<html",“passwd”:“12345”},过滤后的结果是:{“name”:" ,因为没有找到标签的结束位置,所以就会过滤掉后面所有的参数。这样就会导致 controller 获取参数的时候异常。但是这种 html 标签即便是返回给前端,浏览器也无法解析,因为标签是错误的。如果你真的需要过滤这种参数,可以尝试直接过滤特殊字符。

文章来源:转载以便下次可以找到:https://zdran.com/20180511.html

崔大崔
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 JsoupXSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
02-09
Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现...
SpringBoot项目创建过滤器抵御XSS攻击
晓梦林的博客
07-05 856
一、XSS攻击的危害与应对 XSS攻击的定义: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。 攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 For Example: 我们登陆到某个网站。如果网站
SpringBoot 如何防护XSS攻击 ??
爱追剧晓三鲜的博客
12-23 6944
SpringBoot 如何防护XSS攻击 ??一、前言1.1、XSS攻击流程1.2、XSS攻击分类1.3、攻击方式二、解决方案2.1、Springboot XSS过滤插件(mica-xss)2.2、mica-xss 配置三、项目实战3.1、项目环境3.2、测试3.2.1、测试GET请求3.2.2、测试POST请求3.2.2.1、测试POST请求XSS代码放在URL上)3.2.2.2、测试POST请求XSS代码放在 Body 中)四、mica-xss 原理剖析4.1、mica-xss 源码 一、前言 XS
Springboot2.0防止XSS攻击的几种方式
listeningdu的博客
03-29 409
在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。转载链接:https://blog.csdn.net/changzhi9421/article/details/121693397。自定义转换器,集成PropertyEditorSupport类实现,转换器还可以实现数据格式转换,例如:date的转换;jsoup实现了非常强大的clean敏感标签的功能。
SpringBoot实现防XSS攻击 超详细教程
WuTong_Li
06-23 5903
前言: 最近在熟悉公司的项目框架,看到这一块内容时深入了解了一下,在这里总结一下。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 实现教程: 教程中会涉及到几个工具类的依赖,所以需要提前引入一下,在pom文件中新加
SpringBoot关于抵御XSS攻击的解决方案
最新发布
FL_MJ的博客
12-27 971
我们平时写Web项目遇到的,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承父类。JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了接口的实现类。同时JavaEE规范还定义了,这个类是请求类的包装类,用上了装饰器模式。不得不说这里用到的设计模式真的非常棒,无论各家应用服务器厂商怎么去实现。
spring boot+java +jsoup+ 爬虫
03-30
Spring Boot + Java + Jsoup 爬虫是一个常见的技术组合,用于构建高效、简洁的网络爬虫项目。本文将深入探讨这些技术如何协同工作,以及如何利用它们来抓取和处理网页上的图片资源。 首先,Spring Boot 是一个由...
利用spring boot + webmagic 开发的java爬虫系统
04-23
在本项目中,我们探讨了如何使用Spring Boot和WebMagic框架构建一个Java爬虫系统。Spring BootJava领域中一个非常流行的微服务框架,它简化了应用开发过程,提供了自动配置、内嵌式Web服务器等功能。而WebMagic则...
springboot整合XSS
03-20
在现代Web应用开发中,安全性是至关重要的一个环节。Spring Boot作为Java领域广泛使用的微服务...通过配置Spring Security,使用过滤器,以及配合其他安全库,我们可以显著增强Spring Boot应用对XSS攻击的防御能力。
javajsoup
12-29
项目文件夹下jsoup/src/com/start.java是用jsoup过滤xss的例子 src下有jar包
SpringBoot项目XSS攻击过滤防御实现
weixin_45818787的博客
09-02 2950
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3326
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
使用jsoup解决xss(跨站脚本攻击)威胁
T2080305的博客
09-07 2890
1. 在介绍jsoup之前,首先来详细介绍一下关于xss的信息。 1.1 什么是xss  Cross-Site Scripting(XSS)是一类注入问题,恶意脚本被注入到健康的、可信任的网站。当一个攻击者通过一个网站应用程序,     以浏览器端脚本的形式,给另一端的用户发送恶意代码时,XSS攻击就发生了。允许这种攻击成功的缺陷广泛存在于各个大小网站,     只要这个网站某个页面将用户的输...
SpringBoot使用Jsoup处理Xss攻击,包括RequestBody处理 (包括Jsoup的坑)
热门推荐
zzzgd_666的博客
09-27 1万+
Jsoup 在处理xss攻击的时候,以前都是自己将特殊字符和敏感属性进行转义或替换,代码十分繁杂,这几天在网上找到了一个比较好的框架:Jsoup, 它可以让java能对Html标签做各种各样的处理,其中就有处理非法标签和属性的api. Jsoup官网介绍如下: jsoup实现WHATWG HTML5规范,并将HTML解析为与现代浏览器相同的DOM。 从URL,文件或字符串中刮取和解析 HTM...
使用 Jsoup 防御 XSS 攻击
编码行者的博客
05-07 1558
跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 使用 Jsoup 可以有效的过滤不安全的代码。Jsoup 使用白名单的机制来预防 XSS 攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都
Jsoup 防止富文本 XSS 攻击
波板糖的博客
11-05 1576
Jsoup 防止富文本 XSS 攻击 服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤其中的 JS 代码, 在 Java使用 Jsoup 正好可以满足此要求 实现原理 Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTM...
Spring Boot实现智能客服
04-06
智能客服是指利用人工智能技术,通过自然语言处理、语音识别、机器学习等技术实现自动回答用户问题的系统。Spring Boot是一个快速开发框架,可以快速构建Web应用程序。本文将介绍如何使用Spring Boot实现智能客服。 1. 搭建Spring Boot项目 首先需要创建一个Spring Boot项目,可以使用Spring Initializr创建一个默认项目。在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.47</version> </dependency> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.14.2</version> </dependency> ``` 2. 实现智能客服 接下来需要实现智能客服的核心功能:自动回答用户问题。可以使用第三方的问答库,比如百度知道、百度百科等。这里以百度知道为例,通过爬取百度知道的页面,获取对应问题的答案。 ``` import com.alibaba.fastjson.JSON; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; import org.jsoup.nodes.Element; import org.jsoup.select.Elements; import org.springframework.stereotype.Service; import org.springframework.util.StringUtils; import java.io.IOException; import java.util.HashMap; import java.util.Map; @Service public class QaService { public String getAnswer(String question) { if (StringUtils.isEmpty(question)) { return "你问的问题是什么呢?"; } // 爬取百度知道页面 String url = "https://zhidao.baidu.com/search?word=" + question; Document document = null; try { document = Jsoup.connect(url).get(); } catch (IOException e) { e.printStackTrace(); } // 解析答案 Element answerElement = document.selectFirst("div[class='line content'] div[class='best-text mb-10']"); if (answerElement == null) { return "不好意思,我还不知道怎么回答你的问题"; } String answer = answerElement.text(); // 封装结果 Map<String, String> result = new HashMap<>(); result.put("question", question); result.put("answer", answer); return JSON.toJSONString(result); } } ``` 3. 创建Web接口 创建一个Web接口,接收用户的问题,并返回智能客服的回答。 ``` import com.alibaba.fastjson.JSON; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.ResponseBody; @Controller public class IndexController { @Autowired private QaService qaService; @GetMapping("/") public String index() { return "index"; } @PostMapping("/qa") @ResponseBody public String qa(@RequestParam("question") String question, Model model) { String answer = qaService.getAnswer(question); return answer; } } ``` 4. 创建前端页面 创建一个简单的前端页面,包含一个问题输入框和一个回答展示框。 ``` <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>智能客服</title> </head> <body> <h1>智能客服</h1> <form> <input type="text" id="question" name="question"> <button type="button" onclick="qa()">提问</button> </form> <hr> <div id="answer"></div> <script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.min.js"></script> <script> function qa() { var question = $("#question").val(); $.post("/qa", {question: question}, function (data) { var result = JSON.parse(data); $("#answer").text(result.answer); }); } </script> </body> </html> ``` 5. 运行项目 启动Spring Boot项目,访问http://localhost:8080/即可看到智能客服页面。输入一个问题,点击“提问”按钮,就可以得到智能客服的回答了。 总结 本文介绍了如何使用Spring Boot实现智能客服的功能,通过爬取第三方问答库的页面,实现自动回答用户问题。这只是一个简单的示例,实际应用还需要考虑更多的问题,比如如何处理多个答案、如何处理用户的反馈等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值