XSS漏洞与SQL注入漏洞解决方案

最新推荐文章于 2024-05-15 09:53:42 发布
最新推荐文章于 2024-05-15 09:53:42 发布
阅读量4.7k 收藏 5
点赞数
分类专栏: java spring mvc 文章标签: 漏洞 解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013755149/article/details/76671248
版权
  • 跨站脚本攻击的原理

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 …

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

  • SQL注入攻击的原理:

使用用户输入的参数拼凑SQL查询语句,使用户可以控制SQL查询语句。

  • XSS漏洞及SQL注入过滤器参考:

1.XssReqFilter 

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.talent.zdjf.wrapper.XssHttpServletRequestWrapper;

public class XssReqFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {       

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
                (HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
}

2.XssHttpServletRequestWrapper 

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
//      System.out.println("XssFilter处理前的 Value = " + super.getParameter(name));

        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }

//      System.out.println("XssFilter处理后的 Value = " + value);

        return value;
    }

    /**
     * 覆盖getParameterValues方法,将参数名和参数值都做xss过滤。<br/>
     */
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = xssEncode(values[i]);
        }
        return encodedValues;
    }


    @Override
    public Map<String, String> getParameterMap() {
        HashMap<String, String> paramMap = (HashMap<String, String>) super.getParameterMap();
        paramMap = (HashMap<String, String>) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext();) {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
            String[] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if (values[i] instanceof String) {
                    values[i] = xssEncode(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }

    public String getQueryString() {
        String value = super.getQueryString();
        if (value != null) {
            value = xssEncode(value);
            value = value.replaceAll("&", "&").replaceAll("=", "=");
        }
        return value;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    public String escape(String s) {
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
//          case '(':
//              sb.append('(');// 全角左括号
//              break;
//          case ')':
//              sb.append(')');// 全角右括号
//              break;
            case '>':
                sb.append('>');// 全角大于号
                break;
            case '<':
                sb.append('<');// 全角小于号
                break;
            case '\'':
                sb.append('‘');// 全角单引号
                break;
            case '\"':
                sb.append('“');// 全角双引号
                break;
            case '\\':
                sb.append('\');// 全角斜线
                break;
            case '%':
                sb.append('%'); // 全角冒号
                break;
            default:
                sb.append(c);
                break;
            }

        }
        return sb.toString();
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    public String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }

        String result = stripXSS(s);
        if (null != result) {
            result = escape(result);
        }

        return result;
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and
            // uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("alert(.*?)",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("</iframe>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<iframe(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("\"onmouseover.*?='.*?\\\\x61\\\\x6c\\\\x65\\\\x72\\\\x74\\\\x28\\\\x31\\\\x29'.*?[new Function|new\\+Function]\\(.*?\\)\\(\\)\"",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert&#x28;.*?&#x29;",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }
}

3.XssRspFilter 

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.talent.zdjf.wrapper.XssHttpServletResponseWrapper;


public class XssRspFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        HttpServletRequest rq = (HttpServletRequest) request;
        XssHttpServletResponseWrapper rsp = new XssHttpServletResponseWrapper((HttpServletResponse) response);
        chain.doFilter(rq, rsp);

        // 得到response输出内容,并过滤
        String output = rsp.filterRspInfo(rsp.getCharArrayWriter());

        // 通过response输出内容
        rsp.getOutputStream().write(output.getBytes("UTF-8"));
        rsp.getOutputStream().flush();

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
}

4.

import java.io.CharArrayWriter;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

//定义具有缓存功能response
public class XssHttpServletResponseWrapper extends HttpServletResponseWrapper {
    // 定义字符数组
    private CharArrayWriter charArrayWriter = new CharArrayWriter();

    public XssHttpServletResponseWrapper(HttpServletResponse response) {
        super(response);
    }

    public void finalize() throws Throwable {
        super.finalize();
        charArrayWriter.close();
    }

    @Override
    public PrintWriter getWriter() throws IOException {
        return new PrintWriter(charArrayWriter);
    }

    public CharArrayWriter getCharArrayWriter() {
        return charArrayWriter;
    }

    public String filterRspInfo(CharArrayWriter charArrayWriter) {

        String str =charArrayWriter.toString();     
        String[] regxs = new String[]{
                                      "[\"|'][\\+|\\=|\\*|\\^|\\&|\\-]{1,}.*?(alert|eval){1}.*?([\\+|\\=|\\*|\\^|\\&|\\-]{1,}\"){1}"
//                                    "\\\\x6a\\\\x61\\\\x76\\\\x61\\\\x73\\\\x63\\\\x72\\\\x69\\\\x70\\\\x74\\\\x3a\\\\x61\\\\x6c\\\\x65\\\\x72\\\\x74\\\\x28.*?\\\\x29",
//                                    "&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert&#x28;.*?&#x29;",
//                                    "\"onmouseover.*?='.*?\\\\x61\\\\x6c\\\\x65\\\\x72\\\\x74\\\\x28\\\\x31\\\\x29'.*?[new Function|new\\+Function]\\(.*?\\)\\(\\)\"",
//                                    "(\"/><img){1,}.*?(alert|eval){1}(>){1}",
//                                    "(\"onmouseover\\s*=\"(alert|eval)){1,}.*?(\"){1}",
//                                    "(\"onmouseover\\s*=\"){1,}.*?(valueOf:alert){1}.*?(\"){1}"
                                      };

        for (String regx : regxs) {
            Pattern pattern = Pattern.compile(regx); 
            //2.将字符串和正则表达式相关联 
            Matcher matcher = pattern.matcher(str); 
            //3.String 对象中的matches 方法就是通过这个Matcher和pattern来实现的。 

            //System.out.println(matcher.matches()); 
            //查找符合规则的子串 
            while(matcher.find()){ 
                str = str.replace(matcher.group(), "");
            }
        } 
        //System.out.println(str);
        return str;     
    }
}

参考资料:

http://www.cnblogs.com/ITtangtang/p/3982297.html

板砖的加菲
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSS(跨站脚本攻击)漏洞解决方案
菜鸟
07-11 3万+
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决一下,作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下: 首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
java代码审计 - OutputStream.write() 期间持续发生 XSS 攻击
永不垂头的博客
12-29 1269
Java代码审计记录OutputStream.write() 期间持续发生 XSS攻击
真JAVA代码审计之XSS漏洞
最新发布
2401_84434570的博客
05-15 375
1.)objectview对象 可以利用反射机制动态的加载classid的类名,且当实例化对象归属于Component的子类或实现类,且类型为string类型以及为public修饰符修饰时,可以进行控制setxxx方法对值进行控制。但是结合其他漏洞,就可以达到1click实现RCE漏洞的效果,如宝塔rce,小皮面板rce,cs rce,蚁剑反制,goby反制均为如此。漏洞原理:关于XSS漏洞漏洞原理核心其实没啥好说的,网上一查一大堆。其实XSS漏洞本身单独从一个漏洞的角度而要,利用效果其实不会特别好。
WEB安全:XSS漏洞SQL注入漏洞介绍及解决方案
weixin_34190136的博客
09-19 323
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一、跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script...
XSS漏洞解决方案
weixin_40277684的博客
10-23 2523
XSS漏洞主要从请求和响应内容两个方面防护。 配置过滤器 一:web.xml文件 <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.common.filter.XSSFilter</fi...
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3639
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
XSS漏洞sql注入解决方案
04-17
XSS漏洞sql注入解决方案 傻瓜试文档,拷贝就可以了,通用版本
360通用XSS/SQL防注入.zip
12-28
在网络安全领域,XSS(跨站脚本攻击)和SQL注入是两种常见的威胁,它们对网站的稳定性和用户数据的安全构成严重隐患。360通用XSS/SQL防注入方案,就是针对这两种攻击类型提供的一套解决方案。本篇文章将详细介绍XSS...
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
Web 应用程序中的跨站点脚本 (XSS) 和 SQL 注入攻击检测-研究论文
06-09
现在每天都在生成新的 Web 应用程序工具,因此 Web 的安全性是最重要的。 从几年前开始,网络攻击不断增加,... 在工具的帮助下,我们可以发现漏洞的类型主要是SQL注入攻击和跨站点脚本攻击可能发生在Web应用程序中。
xss攻击和sql注入
03-19
xss攻击和sql注入
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
SQL注入漏洞攻防必杀技
热门推荐
柯兄技术博客
04-25 1万+
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入原理导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,他的原理并不复杂。引 言   随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由
xss漏洞原因以及如何应对
风烟
01-26 9039
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输出到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
项目常见SQL注入漏洞攻击及解决办法
u010174217的专栏
06-23 6495
项目接口常见SQL注入漏洞攻击及解决办法 1、弱口令漏洞 解决方案:使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。 2、未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置拦截器过滤掉无效用户的连接请求。 3、接口返回的信息中抛出的异常可能暴露程序信息。有经验的入侵者,可以从抛出的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。 解决方案:自定义一个Exception,将异常信息包装起来不要抛到
xss漏洞攻防
mackilo的博客
12-20 9128
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
解决sql注入xss漏洞
05-17 588
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
WEB安全编程技术规范(V1.0).pdf
07-14
WEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdfWEB安全编程技术规范(V1.0).pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值