XSS跨站攻击注入漏洞解决方案

最新推荐文章于 2024-09-13 09:25:18 发布
最新推荐文章于 2024-09-13 09:25:18 发布
阅读量1.2k 收藏 2
点赞数

一 跨网站脚本

跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 
二 常用的XSS攻击手段和目的 
  盗用 cookie ,获取敏感信息。 
利用植入 Flash ,通过 crossdomain 权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 
利用 iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。 
  利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。 
  在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。 
三 漏洞的防御和利用 
避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤: 

    PHP的htmlentities()或是htmlspecialchars()。 
    Python的cgi.escape()。 
    ASP的Server.HTMLEncode()。 
    ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library 
    Java的xssprotect(Open Source Library)。 

    Node.js的node-validator。 

四 解决方案

我碰到的问题解决方案主要是对request请求的parameter 参数做过滤与字符转义

web.xml配置:

[html]  view plain  copy
  1. <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"  
  2.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  3.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">  
  4.   
  5.   <filter>  
  6.      <filter-name>XssSqlFilter</filter-name>  
  7.      <filter-class>framework.corenew.XssFilter</filter-class>  
  8.   </filter>  
  9.     <filter-mapping>  
  10.      <filter-name>XssSqlFilter</filter-name>  
  11.      <url-pattern>/*</url-pattern>  
  12.      <dispatcher>REQUEST</dispatcher>  
  13.   </filter-mapping>  
  14.       
  15. </web-app>  
XssFilter:

[java]  view plain  copy
  1. package framework.corenew;  
  2.   
  3. import java.io.IOException;  
  4. import java.util.Enumeration;  
  5. import java.util.regex.Pattern;  
  6.   
  7. import javax.servlet.Filter;  
  8. import javax.servlet.FilterChain;  
  9. import javax.servlet.FilterConfig;  
  10. import javax.servlet.ServletException;  
  11. import javax.servlet.ServletRequest;  
  12. import javax.servlet.ServletResponse;  
  13. import javax.servlet.http.HttpServletRequest;  
  14.   
  15. import business.sysinfo.model.User;  
  16.   
  17. /** 
  18.  * <code>{@link CharLimitFilter}</code> 
  19.  * 
  20.  * 拦截防止sql注入 
  21.  * 
  22.  * @author Administrator 
  23.  */  
  24. public class XssFilter implements Filter {  
  25.   
  26.     FilterConfig filterConfig = null;  
  27.   
  28.     public void init(FilterConfig filterConfig) throws ServletException {  
  29.         this.filterConfig = filterConfig;  
  30.     }  
  31.   
  32.     public void destroy() {  
  33.         this.filterConfig = null;  
  34.     }  
  35.   
  36.     public void doFilter(ServletRequest request, ServletResponse response,  
  37.             FilterChain chain) throws IOException, ServletException {  
  38.           
  39.   
  40.         chain.doFilter(new XssHttpServletRequestWrapperNew(  
  41.                     (HttpServletRequest) request), response);  
  42.    
  43.   
  44.     }  
  45.   
  46.       
  47.   
  48.   
  49.   
  50. }  

XssHttpServletRequestWrapperNew:

[java]  view plain  copy
  1. package com.csnt.ecs.core.security.filter;  
  2.   
  3. import java.text.CharacterIterator;  
  4. import java.text.StringCharacterIterator;  
  5. import java.util.regex.Pattern;  
  6.   
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletRequestWrapper;  
  9.   
  10. public class XssHttpServletRequestWrapperNew extends HttpServletRequestWrapper {  
  11.   
  12.     HttpServletRequest orgRequest = null;  
  13.   
  14.     public XssHttpServletRequestWrapperNew(HttpServletRequest request) {  
  15.         super(request);  
  16.         orgRequest = request;  
  17.     }  
  18.   
  19.     /** 
  20.      * 覆盖getParameter方法,将参数名和参数值都做xss过滤。 
  21.      * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取 
  22.      * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
  23.      */  
  24.     @Override  
  25.     public String getParameter(String name) {  
  26.         String value = super.getParameter(xssEncode(name));  
  27.         if (value != null) {  
  28.             value = xssEncode(value);  
  29.             value = HTMLEncode(value);  
  30.         }  
  31.         return value;  
  32.     }  
  33.   
  34.     /** 
  35.      * 对一些特殊字符进行转义 
  36.      *  
  37.      *  
  38.      */  
  39.     public static String HTMLEncode(String aText) {  
  40.         final StringBuilder result = new StringBuilder();  
  41.         final StringCharacterIterator iterator = new StringCharacterIterator(  
  42.                 aText);  
  43.         char character = iterator.current();  
  44.         while (character != CharacterIterator.DONE) {  
  45.             if (character == '<') {  
  46.                 result.append("<");  
  47.             } else if (character == '>') {  
  48.                 result.append(">");  
  49.             } else if (character == '&') {  
  50.                 result.append("&");  
  51.             } else if (character == '\"') {  
  52.                 result.append(""");  
  53.             } else {  
  54.                 // the char is not a special one  
  55.                 // add it to the result as is  
  56.                 result.append(character);  
  57.             }  
  58.             character = iterator.next();  
  59.         }  
  60.         return result.toString();  
  61.     }  
  62.   
  63.     /** 
  64.      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取 
  65.      * getHeaderNames 也可能需要覆盖 
  66.      */  
  67.     @Override  
  68.     public String getHeader(String name) {  
  69.   
  70.         String value = super.getHeader(xssEncode(name));  
  71.         if (value != null) {  
  72.             value = xssEncode(value);  
  73.         }  
  74.         return value;  
  75.     }  
  76.   
  77.     /** 
  78.      * 将容易引起xss漏洞的半角字符直接替换成全角字符 
  79.      * 目前xssProject对注入代码要求是必须开始标签和结束标签(如<script></script>)正确匹配才能解析,否则报错;因此只能替换调xssProject换为自定义实现 
  80.      * @param s 
  81.      * @return 
  82.      */  
  83.     private static String xssEncode(String s) {  
  84.         //  
  85.         // if (s == null || s.isEmpty()) {  
  86.         // return s;  
  87.         // }  
  88.         //  
  89.         // StringReader reader = new StringReader(s);  
  90.         // StringWriter writer = new StringWriter();  
  91.         // try {  
  92.         // HTMLParser.process(reader, writer, new XSSFilter(), true);  
  93.         //  
  94.         // String result = writer.toString();  
  95.         //  
  96.         // System.out.println("xssEncode-------------------------" + s + " = "  
  97.         // + result);  
  98.         //  
  99.         // return result;  
  100.         // } catch (NullPointerException e) {  
  101.         // return s;  
  102.         // } catch (Exception ex) {  
  103.         // ex.printStackTrace();  
  104.         // }  
  105.         //  
  106.         // return null;  
  107.         if (s == null || s.isEmpty()) {  
  108.             return s;  
  109.         }  
  110.   
  111.         String result = stripXSS(s);  
  112.         if (null != result) {  
  113.             result = escape(result);  
  114.         }  
  115.   
  116.         return result;  
  117.   
  118.     }  
  119.   
  120.     public static String escape(String s) {  
  121.         StringBuilder sb = new StringBuilder(s.length() + 16);  
  122.         for (int i = 0; i < s.length(); i++) {  
  123.             char c = s.charAt(i);  
  124.             switch (c) {  
  125.             case '>':  
  126.                 sb.append('>');// 全角大于号  
  127.                 break;  
  128.             case '<':  
  129.                 sb.append('<');// 全角小于号  
  130.                 break;  
  131.             case '\'':  
  132.                 sb.append('‘');// 全角单引号  
  133.                 break;  
  134.             case '\"':  
  135.                 sb.append('“');// 全角双引号  
  136.                 break;  
  137.             case '\\':  
  138.                 sb.append('\');// 全角斜线  
  139.                 break;  
  140.             case '%':  
  141.                 sb.append('%'); // 全角冒号  
  142.                 break;  
  143.             default:  
  144.                 sb.append(c);  
  145.                 break;  
  146.             }  
  147.   
  148.         }  
  149.         return sb.toString();  
  150.     }  
  151.   
  152.     private static String stripXSS(String value) {  
  153.         if (value != null) {  
  154.             // NOTE: It's highly recommended to use the ESAPI library and  
  155.             // uncomment the following line to  
  156.             // avoid encoded attacks.  
  157.             // value = ESAPI.encoder().canonicalize(value);  
  158.             // Avoid null characters  
  159.             value = value.replaceAll("""");  
  160.             // Avoid anything between script tags  
  161.             Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",  
  162.                     Pattern.CASE_INSENSITIVE);  
  163.             value = scriptPattern.matcher(value).replaceAll("");  
  164.             // Avoid anything in a src='...' type of expression  
  165.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",  
  166.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  167.                             | Pattern.DOTALL);  
  168.             value = scriptPattern.matcher(value).replaceAll("");  
  169.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",  
  170.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  171.                             | Pattern.DOTALL);  
  172.             value = scriptPattern.matcher(value).replaceAll("");  
  173.             // Remove any lonesome </script> tag  
  174.             scriptPattern = Pattern.compile("</script>",  
  175.                     Pattern.CASE_INSENSITIVE);  
  176.             value = scriptPattern.matcher(value).replaceAll("");  
  177.             // Remove any lonesome <script ...> tag  
  178.             scriptPattern = Pattern.compile("<script(.*?)>",  
  179.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  180.                             | Pattern.DOTALL);  
  181.             value = scriptPattern.matcher(value).replaceAll("");  
  182.             // Avoid eval(...) expressions  
  183.             scriptPattern = Pattern.compile("eval\\((.*?)\\)",  
  184.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  185.                             | Pattern.DOTALL);  
  186.             value = scriptPattern.matcher(value).replaceAll("");  
  187.             // Avoid expression(...) expressions  
  188.             scriptPattern = Pattern.compile("expression\\((.*?)\\)",  
  189.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  190.                             | Pattern.DOTALL);  
  191.             value = scriptPattern.matcher(value).replaceAll("");  
  192.             // Avoid javascript:... expressions  
  193.             scriptPattern = Pattern.compile("javascript:",  
  194.                     Pattern.CASE_INSENSITIVE);  
  195.             value = scriptPattern.matcher(value).replaceAll("");  
  196.             // Avoid vbscript:... expressions  
  197.             scriptPattern = Pattern.compile("vbscript:",  
  198.                     Pattern.CASE_INSENSITIVE);  
  199.             value = scriptPattern.matcher(value).replaceAll("");  
  200.             // Avoid οnlοad= expressions  
  201.             scriptPattern = Pattern.compile("onload(.*?)=",  
  202.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  203.                             | Pattern.DOTALL);  
  204.             value = scriptPattern.matcher(value).replaceAll("");  
  205.   
  206.             scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",  
  207.                     Pattern.CASE_INSENSITIVE);  
  208.             value = scriptPattern.matcher(value).replaceAll("");  
  209.   
  210.             scriptPattern = Pattern.compile("</iframe>",  
  211.                     Pattern.CASE_INSENSITIVE);  
  212.             value = scriptPattern.matcher(value).replaceAll("");  
  213.             // Remove any lonesome <script ...> tag  
  214.             scriptPattern = Pattern.compile("<iframe(.*?)>",  
  215.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
  216.                             | Pattern.DOTALL);  
  217.             value = scriptPattern.matcher(value).replaceAll("");  
  218.         }  
  219.         return value;  
  220.     }  
  221.   
  222.     /** 
  223.      * 获取最原始的request 
  224.      *  
  225.      * @return 
  226.      */  
  227.     public HttpServletRequest getOrgRequest() {  
  228.         return orgRequest;  
  229.     }  
  230.   
  231.     /** 
  232.      * 获取最原始的request的静态方法 
  233.      *  
  234.      * @return 
  235.      */  
  236.     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
  237.         if (req instanceof XssHttpServletRequestWrapperNew) {  
  238.             return ((XssHttpServletRequestWrapperNew) req).getOrgRequest();  
  239.         }  
  240.   
  241.         return req;  
  242.     }  
  243.   
  244. }  
原博: http://blog.csdn.net/a364726306/article/details/51917204
William.Wangmy
关注
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 999
漏洞描述:本页面存在跨站脚本攻击跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7944
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
XSS 存储漏洞修复
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
XSS漏洞处理
最新发布
yuechuzhixing的博客
09-13 182
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3784
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
1-Web安全——XSS跨站脚本漏洞
网络安全
07-07 825
1. XSS漏洞原理解析 XSS跨站脚本攻击(Cross Site Scripting,简称为XSS)是一种针对web网站安全的漏洞攻击技术,恶意攻击者利用网站程序对用户输入过滤不足,在网站中插入对用户有影响的恶意脚本代码(通常是js或html等脚本代码),当用户使用浏览器打开浏览该网页时,恶意代码就会在用户浏览器上执行,从而盗取用户cookie,黑掉网页,导航到恶意网站。 看起来XSS漏洞主要是攻击用户,属于客户端攻击,跟网站服务器的安全并没有直接关系,但是别忘了web网站的管理后台的用户也属于被攻击
XSS 注入漏洞处理
布袋和尚
04-29 1203
今年是进入网络安全行业第1年,之前总是道听途说各种漏洞,不以为然。。前一阵子才切身体会到了漏洞,嗯,也是自己造成的,就是XSS注入漏洞。 该漏洞的意思是攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 常见的场景是在网页中提交一些文本,如果文本如下: <script>alert(“1”)</script > 提交之后,网页会弹出对话框,显示“1”。 解决这个问题的办
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
XSS漏洞和sql注入解决方案
04-17
XSS漏洞和sql注入解决方案 傻瓜试文档,拷贝就可以了,通用版本
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4433
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
XSS注入漏洞解决方法(高风险)
weixin_43922510的博客
08-15 1万+
漏洞描述 攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 漏洞验证 通过在页面中的留言板,提交框,录入信息框等能够提交参数的地方,尝试注入相关xss代码测试,能够成功执行对应代码功能则存在问题,可能造成流量劫持,篡改、删除页面信息,获取用户cookie信息,盗取账号等不良影响。 修复建议 过滤输入的数...
常用解决跨站脚本(XSS) 和 代码注入思路
budongfengqing的博客
08-09 868
常用解决跨站脚本和代码注入思路
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4661
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
XSS(跨站脚本攻击)漏洞解决方案
菜鸟
07-11 3万+
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决一下,作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下: 首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨
XSS跨站攻击漏洞
haoge1998的博客
04-15 1114
XSS跨站攻击漏洞 xss的核心要求十构造出能够让前端执行的javascript代码 XSS攻击的是用户 一、概述 跨站脚本攻击:让攻击者的js攻击代码在用户的浏览器上执行。 1、JavaScript运行条件 (1)代码位于"<script>alert(1)</script> (2)代码位于onclick事件中,此类事件带有onerror,onload,onfocus,onblur,onchange,onmouseover等 <button onclick=
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 2369
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
分布式跨站脚本漏洞检测技术:一种高效方案
"基于分布式跨站脚本漏洞检测技术的研究,旨在解决Web应用程序中跨站脚本(XSS)攻击的安全隐患。该研究由杨君和马兆丰开展,他们分别是北京邮电大学硕士生和信息安全中心的骨干青年教师。" XSS(Cross-Site ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值