Nnginx专场

已于 2024-04-25 15:50:46 修改
阅读量638 收藏
点赞数
分类专栏: Nginx 文章标签: nginx 运维
于 2021-04-28 11:18:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48190891/article/details/116229526
版权

前言

Nginx跨域配置

server {
    listen 80;
    server_name xxxx;
    access_log /niub/nginx_logs/analyst.ai/xxxxx;
    error_log /niub/nginx_logs/analyst.ai/xxxxxx;
    #下面的配置是80强制跳转443,301的意思是永久重定向
    #return 301 https://$server_name$request_uri;

    #公用配置一直到if结束,都属于跨域
    add_header Access-Control-Allow-Origin $http_origin;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers Origin,X-Requested-With,X-Request-ID,Content-Type,Accept,Authorization;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
    add_header Access-Control-Max-Age 1728000;

    if ($request_method = 'OPTIONS') {
          return 204;
    }

    location /api/ {
        proxy_pass http://xxxxxx/;
        proxy_set_header Host  $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";        
    }

    }

}
server {
    listen 443 ssl;
    server_name xxxxx;
    access_log /niub/nginx_logs/analyst.aixxxxxx;
    error_log /niub/nginx_logs/analyst.ai/xxxxx;

    ssl_certificate /etc/letsencrypt/live/analyst.ai.wild/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/analyst.ai.wild/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:!ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:HIGH:!RC4-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH;

    #公用配置
    add_header Access-Control-Allow-Origin $http_origin;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers Origin,X-Requested-With,X-Request-ID,Content-Type,Accept,Authorization;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
    add_header Access-Control-Max-Age 1728000;

    if ($request_method = 'OPTIONS') {
          return 204;
    }


    location /abc {
        proxy_pass  http://xxxxxx:80;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $proxy_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }    


    location / {
	root /niub/www/sourcecode/online-prod-analyst-bond/build;
        proxy_set_header Host  $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
	    try_files $uri $uri/ /index.html;
        index index.html;
    }


}

跨域漏洞

在Access-Control-Allow-Origin配置中限制固定受信任的域,或通过过滤器设置响应头,并且对获取到的Access-Control-Allow-Origin这个头信息进行验证,如果验证没有通过则将此头信息设置为空

我们现在的项目正常都是前后端分离的,也就是说前端是放在nginx上面,后端是通过nginx转发的
那么我们一般都是访问nginx前端的地址后,才去请求页面上的所有,包括前后端地址
比如前端地址为:https://20.0.0.21:1234 后端地址为:http://20.0.0.22:9528

server {
    listen 1234 ssl;
    server_name xxxxx;
    access_log /niub/nginx_logs/analyst.aixxxxxx;
    error_log /niub/nginx_logs/analyst.ai/xxxxx;

    #公用配置
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers Origin,X-Requested-With,X-Request-ID,Content-Type,Accept,Authorization;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
    add_header Access-Control-Max-Age 1728000;

    if ($request_method = 'OPTIONS') {
          return 204;
    }


    location /abc {
        proxy_pass  http://20.0.0.22:9528;
    }    


    location / {
	root /niub/www/sourcecode/online-prod-analyst-bond/build;
	    try_files $uri $uri/ /index.html;
        index index.html;
    }
}

在这里插入图片描述
这个时候任何Origin都是可以访问进来的,这样做是不安全的,由于网站配置不当,导致任何网站都可以发出带有用户凭证的请求,并读取这些请求的响应,我们需要指定Origin头才能正常访问

跨域主要涉及4个响应头:

Access-Control-Allow-Origin 用于设置允许跨域请求源地址 (预检请求和正式请求在跨域时候都会验证)

Access-Control-Allow-Headers 跨域允许携带的特殊头信息字段 (只在预检请求验证)

Access-Control-Allow-Methods 跨域允许的请求方法或者说HTTP动词 (只在预检请求验证)

Access-Control-Allow-Credentials 是否允许跨域使用cookies,如果要跨域使用cookies,可以添加上此请求响应头,值设为true(设置或者不设置,都不会影响请求发送,只会影响在跨域时候是否要携带cookies,但是如果设置,预检请求和正式请求都需要设置)。不过不建议跨域使用(项目中用到过,不过不稳定,有些浏览器带不过去),除非必要,因为有很多方案可以代替

接下来我们进行指定

#1.表示带有tripwolf的字符的网站可以访问
#2.表示网页为https://dmp.finerice.cn的可以进行访问
#3.表示网页为http://20.0.0.22:9528的可以进行访问

http {
    ...
    // 再白名单里边返回0,不在返回1
    map $http_origin $allow_cors {
        default 1;
        "~^https?://.*?\.tripwolf\.com.*$" 1;
        "~^(https?://(dmp.finerice.cn)?)$" 1;
        "~^(http?://(20.0.0.22:9528)?)$" 1;
        "~*" 0;
    }
    server {

    location /abc {
            # 指定允许其他域名访问
        	add_header Access-Control-Allow-Origin $http_origin;
        	 #允许的请求类型
            add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
            #允许的请求头字段
            add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';			
		 	
		 	#如果不满足上面1 2 3 的条件则返回583
            if ($allow_cors = 0){
                return 583;
            }
        proxy_pass  http://20.0.0.22:9528;
    }    


    location / {
           ......
    }
}

另外学习的博客:
https://blog.csdn.net/huangjinjin520/article/details/133662385

解决nginx不支持Websocket的问题

    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";

    location /abc {
        proxy_pass  http://xxxxxx:80;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $proxy_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

Location不保留缓存配置

server {
    listen 80;
    server_name xxxxx;
    access_log /niub/nginx_logs/analyst.ai/xxxxxxx_access.log abcft;
    error_log /niub/nginx_logs/analyst.ai/xxxxxxx_error.log info;
    return 301 https://$server_name$request_uri;

    location /api {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://tpa-api.analyst.ai/api;
            if ($request_filename ~* .*\.(?:htm|html)$)
    {
            add_header Cache-Control "private, no-store, no-cache, must-revalidate, proxy-revalidate";
    }
    }

关于Nginx线上跳转线下的问题

线上配置

server {
    listen 80;
    server_name XXXXXXXXX;
    access_log /niub/nginx_logs/analyst.ai/XXXXXXXXXXX_access.log abcft;
    error_log /niub/nginx_logs/analyst.ai/XXXXXXXXXXXX_error.log info;
    return 301 https://$server_name$request_uri;

    #公用配置
    add_header Access-Control-Allow-Origin $http_origin;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers Origin,X-Requested-With,X-Request-ID,Content-Type,Accept,Authorization;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
    add_header Access-Control-Max-Age 1728000;

    if ($request_method = 'OPTIONS') {
          return 204;
    }

    location / {
        root /niub/www/sourcecode/XXXXXXXXXX/build;
        proxy_set_header Host  $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        try_files $uri $uri/ /index.html;
        index index.html;
    }

    location /api/company/ {
        proxy_pass http://XXXX:80/api/company/;
        proxy_set_header Host  $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    }
 }

线上跳转的时候,一定要带着后面的路径
比如:  proxy_pass http://XXXX:80/api/company/
因为跳转的时候,指挥带着主机头,不会带着路径

线下配置

server {
    listen 80;
    server_name bond.analyst.ai;
    access_log /u-data/nginx_logs/analyst.ai/bond.analyst.ai_access.log abcft;
    error_log /u-data/nginx_logs/analyst.ai/bond.analyst.ai_error.log info;
#    return 301 https://$server_name$request_uri;

    #公用配置
    add_header Access-Control-Allow-Origin $http_origin;
    add_header Access-Control-Allow-Credentials true;
    add_header Access-Control-Allow-Headers Origin,X-Requested-With,X-Request-ID,Content-Type,Accept,Authorization;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
    add_header Access-Control-Max-Age 1728000;

    if ($request_method = 'OPTIONS') {
          return 204;
    }



    location /api/company/ {
        proxy_pass http://company_bond_analyst_ai/company/;
        proxy_set_header Host  $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

   }

Nginx限流

每秒最多处理一个连接:

http {
    limit_req_zone $binary_remote_addr zone=perip:10m rate=1r/s;
    server {
        limit_req zone=perip;
key :定义限流对象,binary_remote_addr 是一种key,表示基于 remote_addr(客户端IP) 来做限流,binary_ 的目的是压缩内存占用量。
zone:定义共享内存区来存储访问信息, myRateLimit:10m 表示一个大小为10M,名字为myRateLimit的内存区域。1M能存储16000 IP地址的访问信息,10M可以存储16W IP地址访问信息。
rate:用于设置最大访问速率,rate=1r/s 表示每秒最多处理1个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每100毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续100毫秒内又有请求到达,将拒绝处理该请求

-----限制访问频率:-----
按上面的配置在流量突然增大时,超出的请求将被拒绝,无法处理突发流量,那么在处理突发流量的时候,该怎么处理呢?Nginx提供了 burst 参数来解决突发流量的问题,并结合 nodelay 参数一起使用。burst 译为突发、爆发,表示在超过设定的处理速率后能额外处理的请求数

http {
    limit_req_zone $binary_remote_addr zone=perip:10m rate=1r/s;
    server {
        limit_req zone=perip burst=5 nodelay;
如何理解:上面的配置每秒只能访问一次,下面相当于当我没有连接的时候,一次性可以有5个访问进来,再访问就需要1秒处理1个了;

限制并发连接数

这个模块用来限制单个IP的请求数。并非所有的连接都被计数。只有在服务器能正常读取到请求头并解析到ip ,连接才被计数,这个取决于当前nginx的配置,具体需要到测试环境的nginx去实现一下
官方原话:并非所有连接都被计算在内。只有当服务器正在处理一个请求并且已经读取了整个请求标头时,才计算一个连接。
http {
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
    server {
    ...
    limit_conn perip 10;          每个客户端IP连接到服务器的数量
    limit_conn perserver 100;     连接到虚拟服务器的总数

下载限速:

location /flv/ {
    flv;
    limit_rate_after 20m;
    limit_rate       100k;

Https下http资源不能访问解决方案

问题如下:nginx安装了https证书 修改为https访问后,但应用内有些http的,导致一些样式或者页面访问报错,因为https下面默认访问http是会报错的。

在这里插入图片描述

解决方案:我们修改下nginx的转发策略,只需在代理转发添加如下配置即可:

add_header Content-Security-Policy upgrade-insecure-requests;
在这里插入图片描述

上传文件大小

nginx对上传文件大小有要求,默认1m,如果很大,还要适当调整上传超时时间。
1. client_max_body_size

限制请求体的大小,若超过所设定的大小,返回413错误。

2.client_header_timeout
读取请求头的超时时间,若超过所设定的大小,返回408错误。

3. client_body_timeout
读取请求实体的超时时间,若超过所设定的大小,返回413错误。

4.proxy_connect_timeout
http请求无法立即被容器(tomcat, netty等)处理,被放在nginx的待处理池中等待被处理。此参数为等待的最长时间,默认为60秒,官方推荐最长不要超过75秒。

5.proxy_read_timeout
http请求被容器(tomcat, netty等)处理后,nginx会等待处理结果,也就是容器返回的response。此参数即为服务器响应时间,默认60秒。

6.proxy_send_timeout
http请求被服务器处理完后,把数据传返回给Nginx的用时,默认60秒。
一介书生 `
关注
专栏目录
Nnginx调优
aizo4657的博客
12-05 101
nginx调优: main 全局设置 所有区域都生效 server 主机设置 uptream 负载均衡服务器设置 设置后端服务器的 location URL匹配特定位置的设置 匹配网页 关系: server继承main location继承server   upstream既不传也不继承 调整内核参数: ...
Nnginx 正向向代理
weixin_33843409的博客
07-25 131
注意:Nginx正向代理上网。不能代理https类型的网站!!!因为公司服务器网络策略做的比较严格,应用服务器除了nginx,其他的都不能上网。但是现在业务需要。几台tomcat服务器能够解析并访问来自于公网的url地址。所以我决定在nginx做正向代理。问题1:Nginx能做了反向代理负载均衡,还能做正向代理吗?答案1:可以。因为正向代理反向代理都是一个虚拟主机的配置而...
Nginx代理websocket连接
最新发布
囚徒之困
08-12 1619
nginx代理websocket
nginx学习
wengsy_5041的博客
09-05 338
什么是ngnix? Nginx (engine x) 是一款轻量级的Web 服务器 、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。可以参考以下图例: 什么是反向代理? ngnix接收客户端的请求,将请求分发给各个服务器,然后将各个服务器的结果返回给客户端。那么对于客户端来说就表现为一个反向代理。 ngnix的下载安装 官网下载地址:http://nginx.org/ 下载完解压
Nginx」简述Nginx
Nxin的小抄本
05-08 715
在我的理解中, Nginx是一个Web服务器, 架设在客户端和应用服务器之间, 用于在客户端与应用服务器间转发请求与响应. 做反向代理服务器即为Nginx的一个作用, 常见用法在此我先一并列出, 之后都会详细提到: 静态资源服务器 虚拟主机(即共享主机) 反向代理服务器, 并支持集群负载均衡 除此之外, Nginx还可以控制IP, 缓存响应等.
nginx配置location proxy_pass地址代理不正确 和url的匹配保留和不保留 location配置样例
qlin_11的博客
03-31 1万+
(1)配置proxy_pass时,当在后面的url加上了/,相当于是绝对路径,则Nginx不会把location中匹配的路径部分加入代理uri。而有“/”结尾时,location /abc/def/不能匹配/abc/defghi请求,只能匹配/abc/def/anything这样的请求。没有“/”结尾时,location /abc/def可以匹配/abc/defghi请求,也可以匹配/abc/def/ghi等。不带任何修饰符,也表示前缀匹配,但是在正则匹配之后,如果没有正则命中,命中最长的规则。
架构创新与演进(解决方案专场)——FreeWheel在微服务架构下的前端改造实践 共39页.pdf
07-18
7. **国际化(I18n)**:支持多语言环境,便于全球化部署。 8. **权限控制(Permission)**:集成权限控制逻辑,确保数据安全。 9. **可复用组件库(Reusable Components Library)**:建立一套可复用的组件库,提高开发...
java架构师进阶之路
henhenha的博客
03-30 3847
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
安装oracle报out of,关于Linux下安装Oracle时报错:out of memory的问题分析说明
weixin_39654619的博客
04-12 1356
一、说明在Oracle安装过程中,可能遇到out of memory这种错误,这是由于系统内存不足导致!我们可以通过加内存的方式解决!而如果是另一种情况呢: 例如我在主机上装了两个Oracle服务端,其中Oracle12c安装在/u01/app/oracle目录下,Oracle11g安装在/u02/app/oracle目录下!首先我安装Oracle12c时多给了内存,导致后面安装Oracle11g...
mysql 中文截取_中文字符串截取
weixin_34916178的博客
01-27 2591
java多字节字符串按字节截取算法思路1.先按照实际要截取的字节长度,复制一份字节数组2.转换回字符串,计算字符长度resLen,并按这个长度截取原字符串3.计算截取的字符串的字节数是否等于需求长度len,相等则直接返回,不相等,则在resLen的基础上减1再截取,则为需要的结果此算法截取的结果为向前截取,即保证最终截...文章胡昜2015-08-14592浏览量前端文本多行省略的完美解决方案在前...
前端面试题--vue
weixin_44501366的博客
10-17 5021
每个组件都是 Vue 的实例。组件共享 data 属性,当 data 的值是同一个引用类型的值时,改变其中一 个会影响其他.Less的简单使用(一)——变量的用法Less是css的扩展,Less不仅与CSS向后兼容,而且它添加的其他功能都使用现有的CSS语法。变量一、变量正常用法(variables)在一个位置控制常用值.less文件中} **
一文快速搞懂Nginx —— Nginx 详解
热门推荐
weixin_43412762的博客
01-07 6万+
Nginx 同 Apache 一样都是一种 Web 服务器。基于 REST 架构风格,以统一资源描述符(Uniform Resources Identifier)URI 或者 统一资源定位符(Uniform Resources Locator)URL 作为沟通依据,通过 HTTP 协议 提供各种网络服务。 Nginx是一款 轻量级 的 Web服务器、反向代理服务器,由于它的内存占用少,启动极快,高并发能力强,在互联网项目中广泛应用。
Nginx配置http跳转https
邓邓子的博客
03-04 2万+
目录一、return 301二、rewrite三、497 状态码四、meta 刷新 Nginx 可通过多种方式实现 http 跳转 https,以下列出各种方式的实现方法。 一、return 301 这是 Nginx 新版本的写法,推荐使用。在 Nginx 80 监听服务上加一行: return 301 https://$server_name$request_uri; #http跳转https 完整配置如下: #管理端 server { listen 10003; serv
nginx部署页面乱码问题
佚名的博客
07-27 5808
 nginx的默认初始配置,是没有配置解析格式的,需要自己根据需要设置成相应的编码格式,一般网页现在都使用utf-8编码格式,所以我们设置成utf-8编码格式, server { listen 80; server_name localhost; charset utf-8; #access_log logs/...
「Jenkins」- 使用 Nginx 反向代理 Jenkins 服务 @20210307
k4nz
03-07 318
配置文件 详细的内容参考官方的「Running Jenkins behind Nginx」文档 下面是配置文件(直接复制,我们也没有深入研究): upstream jenkins { keepalive 32; # keepalive connections server 127.0.0.1:8080; # jenkins ip and port } server { listen 80; # Listen on port 80 for IPv4 re.
nginx之配置proxy_set_header
weixin_30323961的博客
07-18 1156
win10客户端请求web服务,win10的ip:192.168.223.1 nginx作为反向代理服务器:192.168.223.136 nginx作为后端web服务器:192.168.223.137 前提条件:配置nginx转发到后端服务器 server { listen 8080; server_name 192.168.223.136; ...
nginx反向代理配置一个域名映射到不同端口的项目,nginx常见问题整理
qq445829096的博客
08-15 3万+
nginx反向代理配置一个域名映射到不同端口的项目 现在域名必须是绑定80端口,如果我们直接使用服务器的80端口发布服务的话,需要外网访问的项目都需要放到同一个web服务器下, 但是有些项目由于开发语言不同等等原因不能放在一个web服务器一起发布,都有外网域名访问的需求,使用nginx反向代理配置可以解决。 微信的H5链接必须域名才能正常访问,其他端口的项目通过nginx映射即可 首先下载...
nginx openresty DNS resolver配置实例,通过配置resolver解决proxy_pass中使用变量参数,高性能负载均衡 NGINX Plus 中 RESTful API
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 3924
nginx openresty DNS resolver配置实例 nginx openresty 通过配置resolver解决proxy_pass中使用变量参数 nginx openresty 配置proxy_pass转发的/路径 NGINX Plus 中 RESTful API 高性能负载均衡 HTTP 负载平衡 TCP 和 UDP 负载平衡 负载均衡方法 使用 NGINX Plus 限制连接 会话持久性 主动健康检查 使用 DNS 的服务发现
CORS跨域问题解决
u011925641的博客
09-13 650
CORS跨域问题解决 简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
哪些不是全屏模态专场的方式
07-15
在网页设计和用户体验中,全屏模态是一种常见的交互模式,它通常用于显示重要信息或者请求用户确认操作,比如弹出窗口、对话框等。下面列举了一些不属于全屏模态展示方式: 1. **侧边栏滑出**:这种模式下,内容会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值