java登录过滤 跨站脚本攻击问题解决

最新推荐文章于 2024-04-15 15:57:02 发布
最新推荐文章于 2024-04-15 15:57:02 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weikzhao0521/article/details/82687687
版权

一,web.xml 文件添加过滤,要加在登陆验证之前

<!-- 特殊字符过滤验证或转义 -->
    <filter>
        <filter-name>XSSFilter</filter-name>
        <filter-class>com.web.system.filter.XSSFilter</filter-class>
        <init-param>
		 <param-name>validate</param-name>
		 <param-value>
			<![CDATA[
				expression|prompt|iframe|frame|SYS.TAB|script|alert|src|href|%|<|>|\\x|%5Cx|\*/|/\*|\> |\<|\‘|\“|\\|\/|\(|\)
			]]>
		 </param-value>
	   </init-param>
	   <init-param>
		 <param-name>ignoreurl</param-name>
		 <param-value></param-value>
	   </init-param>
   </filter>
   <filter-mapping>
       <filter-name>XSSFilter</filter-name>
       <url-pattern>/loginCheck</url-pattern>
       <dispatcher>REQUEST</dispatcher>
   </filter-mapping>

 二,添加自定义拦截 XSSFilter.java 

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;

/**
 * <p>
 * Title: XSSFilter
 * </p>
 * <p>
 * Description: XSS防御过滤器
 * </p>
 * 
 * @author msCall
 * @date 2018-9-12
 */
public class XSSFilter implements Filter {
	private static Logger logger = Logger.getLogger(XSSFilter.class);
	private FilterConfig config = null;
	private static String validate = "--|'";
	private String ignoreurl = "";
	@Override
	public void init(FilterConfig config) throws ServletException {
		this.config = config;
		validate = config.getInitParameter("validate");
		ignoreurl = config.getInitParameter("ignoreurl");
	}

	@Override
	public void destroy() {
		config = null;
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		XSSHttpServletRequestWraper wrapper = new XSSHttpServletRequestWraper((HttpServletRequest) request);
		String comKey = null;
		String comStr = null;
		String[] arrStr = null;
		String checkRs = null;
		String method = ((HttpServletRequest) wrapper).getMethod();
		/**
		 * 拦截get请求
		 */
		if (method != null && "get".compareToIgnoreCase(method) == 0) {
//			String requestUrl = ((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase();
//			if (!"".equals(((HttpServletRequest) wrapper).getQueryString())
//					&& null != ((HttpServletRequest) wrapper).getQueryString()) {
//				requestUrl = ((HttpServletRequest) wrapper).getQueryString().toLowerCase();
//			} else {
//				chain.doFilter(wrapper, response);
//				return;
//			}
//			/**
//			 * 如果是白名单就直接跳过
//			 */
//			if (isIgnoreUrl(((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase())) {
//				chain.doFilter(wrapper, response);
//				return;
//			}
//
//			try {
//				requestUrl = java.net.URLDecoder.decode(requestUrl, "UTF-8");
//			} catch (Exception e) {
//				e.printStackTrace();
//			}
//			checkRs = dataAutoCheck(requestUrl);
//			if (!"RSRIGHT".equals(checkRs)) {
//				wrapper.getRequestDispatcher("/pages/err_str_limite.jsp").forward(request, response);
//				return;
//			}
			chain.doFilter(wrapper, response);
			return;
		} 
		/**
		 * 拦截POST请求
		 */
		else {
			checkRs = null;
			/**
			 * 如果是白名单就直接跳过
			 */
			if (isIgnoreUrl(((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase())) {
				chain.doFilter(wrapper, response);
				return;
			}
			Map allFormDateMap = (Map) wrapper.getParameterMap(); // 获取表单提交过来的数据
			for (Iterator i = allFormDateMap.entrySet().iterator(); i.hasNext();) {
				Map.Entry entry = (Map.Entry) i.next();
				Object ob = (Object) entry.getValue();
				Object key = (Object) entry.getKey();
				/**
				 * 验证表单的key
				 */
				if (key instanceof String) {
					comKey = (String) key;
					if(comKey.equals("content"))continue; //如果是公告管理的内容字段content,则跳过过滤
					checkRs = dataAutoCheck(comKey);
				}
				/**
				 * 验证表单的value
				 */
				if (ob != null && ob instanceof String) {
					comStr = (String) ob;
					checkRs = dataAutoCheck(comStr);
				} else if (ob != null && ob instanceof String[]) {
					arrStr = (String[]) ob;
					for (int j = 0; j < arrStr.length; j++) {
						comStr = arrStr[j];
						checkRs = dataAutoCheck(comStr);
						if (!"RSRIGHT".equals(checkRs))
							break;
					}
				}
				if (!"RSRIGHT".equals(checkRs)) {
					 wrapper.getRequestDispatcher("/err_str_limite.jsp.jsp").forward(request,
					 response);
//					response.setCharacterEncoding("utf-8");
//					PrintWriter out = response.getWriter();
//					Map<String, String> map = new HashMap<>();
//					map.put("errtype", "xss");
//					map.put("errinfo", "输入信息中包含非法数据!");
//					out.print(JSON.toJSONString(map));
//					out.close();
					return;
				}
			}
		}
		chain.doFilter(wrapper, response);
	}

	private boolean isIgnoreUrl(String url) {
		String param[] = ignoreurl.split(",");
		for (int i = 0; i < param.length; i++) {
			if (url.indexOf(String.valueOf(param[i]).toLowerCase()) > 0) {
				return true;
			}
		}
		return false;
	}

	/**
	 * 
	 * @description 根据过滤规则过滤XSS攻击字符
	 * @author msCall
	 * @date 2018-9-12
	 * @param str 表单提交的值
	 * @return 验证结果
	 */
	public static String dataAutoCheck(String str) throws UnsupportedEncodingException {
		Pattern p = null; // 正则表达式
		Matcher m = null; // 操作的字符串
		String[] sp = validate.split("\\|");
		for (int i = 0; i < sp.length; i++) {
			p = Pattern.compile(sp[i].trim().toLowerCase());
			m = p.matcher(str.toLowerCase());
			if (m.find())
				return sp[i].trim();
		}
		return "RSRIGHT";
	}
}

三,添加XSSHttpServletRequestWraper.java

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringUtils;

/**
 * <p>
 * Title: XSSHttpServletRequestWraper
 * </p>
 * <p>
 * Description: XSS防御请求处理类
 * </p>
 * 
 * @author msCall
 * @date 2018-9-12 
 */
public class XSSHttpServletRequestWraper extends HttpServletRequestWrapper{

	public XSSHttpServletRequestWraper(HttpServletRequest request) {
		super(request);
	}

    /**
     *覆盖基类的getParameter()方法,对请求参数的值进行过滤。
     */
	@Override
    public String getParameter(String name) {
		String value = super.getParameter(name);  
		//Constants.MY_LOG.debug("getParameter----->转义处理");
		//return clearXss(super.getParameter(name));// 保留勿删
        if (null == value)  return null;  
        return xssEncode(value.trim());
    }
    
	/**
     *覆盖基类的getHeader()方法,对请求参数的值进行过滤。
     */
    @Override
    public String getHeader(String name) {
    	String value = super.getHeader(name);  
    	 //Constants.MY_LOG.debug("getHeader----->转义处理");
    	 //return clearXss(super.getHeader(name)); // 保留勿删
        if (null == value)  return null;  
        return xssEncode(value);
    }
    
    /**
     *覆盖基类的getParameterValues()方法,对请求参数的值进行过滤。
     */
    @Override
    public String[] getParameterValues(String name) {
    	//Constants.MY_LOG.debug("getParameterValues----->转义处理");
        if(!StringUtils.isEmpty(name)){
            String[] values = super.getParameterValues(name);
            if(values != null && values.length > 0){
                String[] newValues = new String[values.length];
                
                for(int i =0; i< values.length; i++){
                    //newValues[i] = clearXss(values[i]);// 保留勿删
                    newValues[i] = xssEncode(values[i]);
                }
                return newValues;
            }
        }
        return null;
    }

    @SuppressWarnings("unchecked")
	public Map<String,String[]> getParameterMap() {
		Map<String,String[]> map = new HashMap<String,String[]>();
		Map<String,String[]> paramMap = (Map<String,String[]>) super.getParameterMap();
        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String,String[]> entry = (Map.Entry<String,String[]>) iterator.next();
            String [] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = xssEncode(values[i]);
                }
            }
            //entry.setValue(values);//不支持tomcat7
            map.put(entry.getKey(), values);
        }
        return map;
    }
    
    /**
     *  
     * 处理字符转义【勿删,请保留该注释代码】
     * @param value
     * @return
    private String clearXss(String value){
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replace("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replace("script", "");
        return value;
    }*/
    
    /** 
     * 将特殊字符替换为全角 
     * @param s 
     * @return 
     */  
    private  String xssEncode(String s) {  
        if (s == null || s.isEmpty()) {  
            return s;  
        }  
        StringBuilder sb = new StringBuilder();  
        for (int i = 0; i < s.length(); i++) {  
            char c = s.charAt(i);  
            switch (c) {  
            //将特殊字符替换为全角
	        case '>':  
	            sb.append('>');// 全角大于号    |\>|\<|\‘|\“|\\|\/|\(|\)
	            break;  
	        case '<':  
	            sb.append('<');// 全角小于号  
	            break;  
	        case '\'':  
	            sb.append('‘');// 全角单引号  
	            break;  
	        //case '\"':  
	        //    sb.append('“');// 全角双引号  
	        //    break;  
	        //case '&':  
	        //    sb.append('&');// 全角&  
	        //    break;  
	        case '\\':  
	            sb.append('\');// 全角斜线  
	            break;  
	        case '/':  
	            sb.append('/');// 全角斜线  
	            break;  
	        //case '#':  
	        //    sb.append('#');// 全角井号  
	        //    break;  
	        case '(':  
	            sb.append('(');// 全角(号  
	            break;  
	        case ')':  
	            sb.append(')');// 全角)号  
	            break;  
	        default:  
	            sb.append(c);  
	            break;  
	        }
        }  
        return sb.toString();  
    }  
}

四,err_str_limite.jsp 跳转页面展示

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page contentType="text/html;charset=utf-8"%><html>
 <style type="text/css">
	#tip2 {
		position: absolute;
		right: 450px;
		bottom: 0px;
		height: 100px;
		width: 260px;
		border: 1px solid #CCCCCC;
		background-color: #eeeeee;
		padding: 1px;
		overflow: hidden;
		display: none;
		font-size: 12px;
		z-index: 10;
	}
	
	#tip2 p {
		padding: 6px;
	}
	
	#tip2 h1,#detail h1 {
		font-size: 14px;
		height: 25px;
		line-height: 25px;
		background-color: #0066CC;
		color: #FFFFFF;
		padding: 0px 3px 0px 3px;
		filter: Alpha(Opacity = 100);
	}
	
	#tip2 h1 a,#detail h1 a {
		float: right;
		text-decoration: none;
		color: #FFFFFF;
	}
</style>
<script type="text/javascript">
	window.onload = function() { 
		var divTip = document.createElement("div"); 
		divTip.id = "tip2"; 
		divTip.style.top = '0px';
		divTip.style.margin = '0,auto,0,0';
		divTip.style.height = '0px'; 
		divTip.style.bottom = '0px'; 
		divTip.style.position = 'fixed'; 
		document.body.appendChild(divTip); 
		start();
		setInterval("start()", 300000);
	} 
	
	var handle; 
	function start() { 
		var obj = document.getElementById("tip2"); 
		obj.innerHTML = "<h1><a href='javascript:void(0)' onclick='start()'>×</a>提示</h1><p>输入包含非法数据,</br>例如,--,',\",\\,;,%,>,!,<,</br>iframe,frame,SYS.TAB,script,</br>alert,src,href等</p>"; 
		if (parseInt(obj.style.height) == 0) { 
			obj.style.display = "block"; 
			handle = setInterval("changeH('up')", 20); 
		}else { 
			handle = setInterval("changeH('down')", 20) 
		} 
	} 
	
	function changeH(str) { 
		var obj = document.all ? document.all["tip2"] : document.getElementById("tip2"); 
		if (str == "up") { 
			if (parseInt(obj.style.height) > 150) {
				clearInterval(handle); 
			} else {
				obj.style.height=(parseInt(obj.style.height) + 8).toString() + "px"; 
			}
		} 
		if (str == "down") { 
			if (parseInt(obj.style.height) < 8) { 
				clearInterval(handle); 
				obj.style.display = "none"; 
			} else {
				obj.style.height = (parseInt(obj.style.height) - 8).toString() + "px"; 
			}
		} 
	}
</script>

五,验证成功。

 

探路者001
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Google App Engine WebService Java源码(Xss跨站脚本攻击过滤服务)
11-12
将 AntiSamy Xss 跨站脚本攻击过滤封装成 GoogleAppEngine(GAE)WebService。 没开发过GAE WebService的同学可以作为一个在 GAE 上开发 WebService 的例子参考。
java跨站攻击,抓住XSS(跨站脚本)攻击(Java)的最佳正则表达式?
weixin_39929683的博客
02-12 255
Jeff actually posted about this in Sanitize HTML. But his example is in C# and I'm actually more interested in a Java version. Does anyone have a better version for Java? Is his example good enough to...
java跨站攻击_最好的正则表达式捕获XSS(跨站点脚本)攻击(在Java中)?
weixin_39663970的博客
02-12 323
不要用正则表达式做到这一点。请记住,您不是仅仅针对有效的HTML进行保护;您正在保护Web浏览器创建的DOM。浏览器可以很容易地被欺骗从无效的HTML生成有效的DOM。例如,请参阅obfuscated XSS attacks的列表。您是否准备定制正则表达式以防止IE6 / 7/8上的Yahoo and Hotmail上的这个真实世界的攻击?这个IE6的攻击怎么样?该网站上未列出的攻击如何?杰夫的做...
Java中的安全性问题,如跨站脚本攻击(XSS)和SQL注入等
最新发布
编程小弟的博客
04-15 633
Java中的安全性问题涉及多个方面,包括跨站脚本攻击(Cross-Site Scripting,XSS)和SQL注入等。这些攻击都是由于程序在处理用户输入时未能有效过滤或转义恶意代码,导致攻击者能够插入并执行恶意脚本或命令。跨站脚本攻击是一种安全漏洞,攻击者可以在其中注入恶意脚本到网页中,当其他用户浏览该网页时,恶意脚本将在用户的浏览器中执行。这可能导致用户会话的劫持、隐私数据的泄露或其他恶意行为。在Java Web应用中,XSS攻击通常发生在以下几种情况:为了防止XSS攻击,开发者应该:SQL注入是一种攻
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
java防止XSS(跨站脚本攻击)攻击的常用方法总结
码在飞博客
07-13 1万+
一、什么是XSS攻击? XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 927
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
在.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat...
跨站点脚本编制问题解决
06-12
跨站点脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全问题,它发生在攻击者能够在用户浏览器中注入恶意脚本时。这些脚本可以伪装成受信任的网站,从而窃取用户的敏感信息,如登录凭据或执行其他恶意...
xss跨站脚本攻击汇总
07-24
xss 跨站脚本攻击汇总 xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的...
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
跨站脚本攻击(Cross-Site Scripting,简称XSS)是...综上所述,360的这个防注入跨站脚本攻击漏洞补丁是一个全面的解决方案,涵盖了多种服务器端技术,并提供了具体的防御措施,对于提升Web应用的安全性具有重要作用。
java 过滤跨站攻击_JAVA覆写Request过滤XSS跨站脚本攻击
weixin_39848970的博客
02-13 121
12 package com.blog.web.base.wrapper;34 import java.io.ByteArrayInputStream;5 import java.io.ByteArrayOutputStream;6 import java.io.IOException;7 import java.io.InputStream;8 import java.util.ArrayLis...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2448
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
java 跨站脚本攻击_XSS(跨站脚本攻击)漏洞解决方案
weixin_33979216的博客
02-21 1984
首先,简单介绍一下XSS定义:一 、 XSS介绍XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目...
java 跨站攻击脚本过滤工具类
qq_34874784的博客
11-23 397
java 跨站攻击脚本过滤工具类
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1076
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
跨站脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
如何解决跨站脚本攻击
热门推荐
z69183787的专栏
06-25 2万+
摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /welcome.cgi Cross-site scripting(CSS or XSS)跨
漏洞解决方案-跨站脚本攻击
smart的博客
08-11 6046
漏洞解决方案-跨站脚本攻击跨站脚本攻击1.风险分析2.详细描述3.解决方案 跨站脚本攻击 1.风险分析 跨站脚本可能造成用户信息泄露(包括我行内部行员的用户名、密码泄露),配置更改,cookie窃取等造成危害,甚至能够用于对Web服务器进行DOS攻击。黑客也可利用获取的用户信息对我行系统进行进一步攻击。 2.详细描述 跨站脚本发生在以下两种情况: 数据通过不可靠的源进入Web application,大多数情况下是web request。 包含在动态内容中的数据在没有经过安全检测就发送给网络用户。
java反射型跨站脚本
06-11
Java反射不是一个跨站脚本攻击的方式。Java反射是一种机制,允许程序在运行时检查和修改其自身的行为。Java反射通常用于动态地创建对象、调用方法、访问字段等。虽然Java反射可以被用于执行一些危险的操作,但是它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值