Spring cors

最新推荐文章于 2025-09-04 16:13:54 发布
转载 最新推荐文章于 2025-09-04 16:13:54 发布 · 102 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/helloz/p/10961039.html
文章标签:

#测试 #java

今天遇到一个问题,就是spring中配置cors没有效果。原来是因为被spring security拦截处理了。配置了CorsFilter在Spring security过滤器链之后,而通过WebMvcConfigurationSupport配置的CorsConfiguration则是Spring MVC中的, 更是在Spring security过滤器链的后面, 因此没有效果。而通过配置CorsConfigurationSource则会在Spring Security的过滤链中加上CORS过滤器。

Spring security的文档这样说:
Spring中添加CORS配置最简单的方法是通过CorsFilter, 也可以通过配置CorsConfigurationSource来使spring security使用cors, 这样会把CorsFilter加到Spring security的过滤器链中。

我的发现:
在Spring webFlux security中, 如果自己定义CorsFitler, 必须保证在Spring security的过滤器链之前, 这样才不会被Spring Security拦截处理, 从而没有了Cors过滤器。通过指定过滤器的Order为 @Order(Ordered.HIGHEST_PRECEDENCE)会在Spring security的过滤器链之前处理。

而在Spring Web Security 中则可以直接指定CorsFilter, Spring security会直接使用已有的CorsFilter。
https://docs.spring.io/spring-security/site/docs/4.2.x/reference/html/cors.html

Spring Web Flux Cors

看下Spring webflux security是如何把cors加到过滤器链中的:
在http.build()中

  if (this.cors != null) {
    this.cors.configure(this);
  }
protected void configure(ServerHttpSecurity http) {
  CorsWebFilter corsFilter = this.getCorsFilter();
  if (corsFilter != null) {
    http.addFilterAt(this.corsFilter, SecurityWebFiltersOrder.CORS);
  }

}
private CorsWebFilter getCorsFilter() {
  if (this.corsFilter != null) {
    return this.corsFilter;
  } else {
    CorsConfigurationSource source = (CorsConfigurationSource)ServerHttpSecurity.this.getBeanOrNull(CorsConfigurationSource.class);
    if (source == null) {
      return null;
    } else {
      CorsProcessor processor = (CorsProcessor)ServerHttpSecurity.this.getBeanOrNull(CorsProcessor.class);
      if (processor == null) {
        processor = new DefaultCorsProcessor();
      }

      this.corsFilter = new CorsWebFilter(source, (CorsProcessor)processor);
      return this.corsFilter;
    }
  }
}

而通过ServerHttpSecurity.this.getBeanOrNull()方法获取容器中的bean, 从而在这里获取CorsConfigurationSource实例配置CORS。

Spring Web Security Cors

而在spring web security中似乎spring security是可以识别CorsFilter并使用的, 这里没有实际测试过。

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()
        .cors().disable()
        .httpBasic().disable()
        .formLogin().disable()
        .addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class)
        .authorizeRequests()
        .antMatchers("/actuator/**").permitAll()
        .antMatchers(
            "/company/user/check/**",
        ).permitAll()
        .anyRequest().authenticated()
        .and()
        .exceptionHandling().authenticationEntryPoint(defaultAuthenticationEntryPoint);
  }

而在HttpSecurity类中

  public CorsConfigurer<HttpSecurity> cors() throws Exception {
    return (CorsConfigurer)this.getOrApply(new CorsConfigurer());
  }

Spring web security CorsConfigurer中:

  private CorsFilter getCorsFilter(ApplicationContext context) {
    if (this.configurationSource != null) {
      return new CorsFilter(this.configurationSource);
    } else {
      boolean containsCorsFilter = context.containsBeanDefinition("corsFilter");
      if (containsCorsFilter) {
        return (CorsFilter)context.getBean("corsFilter", CorsFilter.class);
      } else {
        boolean containsCorsSource = context.containsBean("corsConfigurationSource");
        if (containsCorsSource) {
          CorsConfigurationSource configurationSource = (CorsConfigurationSource)context.getBean("corsConfigurationSource", CorsConfigurationSource.class);
          return new CorsFilter(configurationSource);
        } else {
          boolean mvcPresent = ClassUtils.isPresent("org.springframework.web.servlet.handler.HandlerMappingIntrospector", context.getClassLoader());
          return mvcPresent ? CorsConfigurer.MvcCorsFilter.getMvcCorsFilter(context) : null;
        }
      }
    }
  }

首先检查CorsFilter, 然后检查CorsConfigurationSource bean。
此时直接设置CorsFilter是可以加到spring security过滤器链中的。

Spring mvc Cors

Spring MVC的文档这样说:
Spring MVC 的HandlerMapping实现内置支持CORS, 在成功映射一个请求到一个handler之后, HandlerMapping会检查CORS配置以采取下一步动作。
https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc-cors-processing

我的发现:
Spring MVC会在找到handler后通过添加一个拦截器来检查CORS配置。
Spring MVC的CORS是在找到hander之后, 这个更是在Spring security的过滤器链之后, 从而cors没有效果。

下面来看一下Spring MVC中的CORS的实现。
DispatcherServlet调用AbstractHandlerMapping中的getHandler()方法:

  public final HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
    Object handler = this.getHandlerInternal(request);
    if (handler == null) {
      handler = this.getDefaultHandler();
    }

    if (handler == null) {
      return null;
    } else {
      if (handler instanceof String) {
        String handlerName = (String)handler;
        handler = this.obtainApplicationContext().getBean(handlerName);
      }

      HandlerExecutionChain executionChain = this.getHandlerExecutionChain(handler, request);
      if (this.logger.isTraceEnabled()) {
        this.logger.trace("Mapped to " + handler);
      } else if (this.logger.isDebugEnabled() && !request.getDispatcherType().equals(DispatcherType.ASYNC)) {
        this.logger.debug("Mapped to " + executionChain.getHandler());
      }

      if (CorsUtils.isCorsRequest(request)) {
        CorsConfiguration globalConfig = this.corsConfigurationSource.getCorsConfiguration(request);
        CorsConfiguration handlerConfig = this.getCorsConfiguration(handler, request);
        CorsConfiguration config = globalConfig != null ? globalConfig.combine(handlerConfig) : handlerConfig;
        executionChain = this.getCorsHandlerExecutionChain(request, executionChain, config);
      }

      return executionChain;
    }
  }

自动加上一个cors的拦截器:

  protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, @Nullable CorsConfiguration config) {
    if (CorsUtils.isPreFlightRequest(request)) {
      HandlerInterceptor[] interceptors = chain.getInterceptors();
      chain = new HandlerExecutionChain(new AbstractHandlerMapping.PreFlightHandler(config), interceptors);
    } else {
      chain.addInterceptor(new AbstractHandlerMapping.CorsInterceptor(config));
    }

    return chain;
  }
 private class CorsInterceptor extends HandlerInterceptorAdapter implements CorsConfigurationSource {
    @Nullable
    private final CorsConfiguration config;

    public CorsInterceptor(@Nullable CorsConfiguration config) {
      this.config = config;
    }

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
      return AbstractHandlerMapping.this.corsProcessor.processRequest(this.config, request, response);
    }

    @Nullable
    public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
      return this.config;
    }
  }

DefaultCorsProcessor

  public boolean processRequest(@Nullable CorsConfiguration config, HttpServletRequest request, HttpServletResponse response) throws IOException {
    if (!CorsUtils.isCorsRequest(request)) {
      return true;
    } else {
      ServletServerHttpResponse serverResponse = new ServletServerHttpResponse(response);
      if (this.responseHasCors(serverResponse)) {
        logger.trace("Skip: response already contains \"Access-Control-Allow-Origin\"");
        return true;
      } else {
        ServletServerHttpRequest serverRequest = new ServletServerHttpRequest(request);
        if (WebUtils.isSameOrigin(serverRequest)) {
          logger.trace("Skip: request is from same origin");
          return true;
        } else {
          boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
          if (config == null) {
            if (preFlightRequest) {
              this.rejectRequest(serverResponse);
              return false;
            } else {
              return true;
            }
          } else {
            return this.handleInternal(serverRequest, serverResponse, config, preFlightRequest);
          }
        }
      }
    }
  }

dispatcherServlet中在真正invoke handler之前调用拦截器:
doDispatch方法:

  HandlerAdapter ha = this.getHandlerAdapter(mappedHandler.getHandler());
  String method = request.getMethod();
  boolean isGet = "GET".equals(method);
  if (isGet || "HEAD".equals(method)) {
    long lastModified = ha.getLastModified(request, mappedHandler.getHandler());
    if ((new ServletWebRequest(request, response)).checkNotModified(lastModified) && isGet) {
      return;
    }
  }

  if (!mappedHandler.applyPreHandle(processedRequest, response)) {
    return;
  }

  mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
  if (asyncManager.isConcurrentHandlingStarted()) {
    return;
  }

从而通过加的cors拦截器阻止请求。

转载于:https://www.cnblogs.com/helloz/p/10961039.html

SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0
飘渺Jam的博客
03-18 9720
导读:上篇文章我们已经抽取出了单独的认证服务,本章主要内容是让SpringCloud Gateway 集成Oauth2。 系列文章,欢迎持续关注
spring gateway ,spring security集成,webfilter执行两次的问题处理
ufdeen的博客
04-28 3102
spring gateway ,spring security集成,webfilter执行两次的问题处理,过滤器执行判断
springweb flux拦截请求获取参数和方法做接口签名防重放校验
文盲青年的博客
10-31 1939
1、利用过滤器,从原request中获取到信息后,缓存在一个上下文对象中,然后构造新的request,传入后面的过滤器。因为原request流式的,用过一次后便无法再取参数了。2、通过exchange的Attributes传递上下文对象,在不同的过滤器中使用即可。这种做body参数拦截,而对于其他的请求,则可以通过url直接获取到query参数。这里我们从上下文对象中取出参数即可。
SpringSecurity - 启动流程分析(九)- CorsFilter 过滤器
业精于勤荒于嬉
08-21 1021
SpringSecurity - 启动流程分析(九)- CorsFilter 过滤器
SpringBoot在使用SpringSecurity,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 6918
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求未执行此方法,由此判断CorsFilter未执行过滤逻辑。
Spring-Gateway 与 Spring-Security在前后端分离项目中的实践
天行健,君子以自强不息;地势坤,君子以厚德载物。
05-24 2103
前言网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。一,前台登录大概思路前台主要是配合项目中配置的clientId,clientSec...
Spring 里那么多种 CORS 的配置方式,到底有什么区别
gw的博客
12-03 1502
作为一个后端开发,我们经常遇到的一个问题就是需要配置CORS,好让我们的前端能够访问到我们的 API,并且不让其他人访问。而在Spring中,我们见过很多种CORS的配置,很多资料都只是告诉我们可以这样配置、可以那样配置,但是这些配置有什么区别? CORS 是什么 首先我们要明确,CORS是什么,以及规范是如何要求的。这里只是梳理一下流程,具体的规范请看这里。 CORS全称是...
SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2(1)
2401_84152825的博客
05-04 1029
在webFlux环境下通过实现接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫@Slf4j@Override//根据access_token从数据库获取不到OAuth2AccessTokenreturn Mono.error(new InvalidTokenException(“Access Token 无效!”));}else {面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
开放平台控制怎么做
zh的博客
11-26 859
1.开放平台业务逻辑 //todo... 2.网关控制 //todo... 3.动态配置(动态路由、动态限流) //todo... 动态路由: InMemoryRouteDefinitionRepository该接口继承了RouteDefinitionWriter,RouteDefinitionWriter中定义了save、delete方法,通过方法名称可以知道是用来保存/添加/删除路由信息;使用 InMemoryRouteDefinitionRepository 来维护 RouteDefiniti.
Spring-Gateway与Spring-Security在前后端分离项目中的实践
mrcool2012的博客
06-01 935
网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。大概思路前台主要是配合项目中配置的clientId,clientSecret去第三方服务器拿授权码code,然后拿这个code去后端交互,后端根据code去第三方拿用户信息,由于第三方只保存用户信息,不管具体的业务权限,所以
springboot2 webflux集成spring security做权限登陆校验
热门推荐
chiying5380的博客
06-13 1万+
一、主要pom依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifac...
Spring-securitySpringMvc中的使用
lz710117239的博客
06-12 5333
Spring-securityspring中的校验流程,有SpringMVC配置和SpringFlux配置两种模式,关于使用方式,我们在这里说下1、SpirngMVC中的Security配置在SpirngMVC中的Security配置,我们需要有一个类继承WebSecurityConfigurerAdapter类,在里面可以配置自己需要的bean和拦截属性,更多详细介绍请看官方文档,这里只是简单...
Spring WebFluxCORS WebFilter与SecurityWebFilterChain的配置
zzy7075的专栏
11-02 3756
需求:前端VUE项目需要在HTTP header添加JWT token发送到Spring后端认证。 尝试:使用Spring官方的配置 @Configuration @EnableWebFlux public class WebConfig implements WebFluxConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMappin
springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)
taihexuelang的专栏
01-04 7472
springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式) 项目security_simple(认证授权项目) 1.新建springboot项目     这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖  下面是我引入的依赖...
过滤器(Filter)和拦截器(Interceptor)的取舍
09-03 806
【摘要】在表单JSON/参数权限判断场景中,过滤器与拦截器的选择需基于三个关键维度:技术特性上,过滤器更早执行且与Spring解耦,拦截器可获取Spring上下文;业务依赖上,仅需基础参数优先过滤器,涉及Spring服务必须用拦截器;实践层面二者常分工协作,过滤器处理全局校验(如Token格式),拦截器处理业务权限(如角色校验)。最终选择取决于权限逻辑是否需要Spring服务支持,多数场景建议组合使用以兼顾性能与灵活性。
Java开发中的依赖环境管理
m0_69564658的博客
09-04 583
Java开发依赖环境管理是项目成功的关键,涉及开发工具、构建工具和依赖管理等方面。主流IDE包括IntelliJ IDEA、Eclipse和NetBeans,需根据项目需求选择。构建工具推荐Maven和Gradle,前者适合中小型项目,后者更具灵活性。依赖管理需明确版本,可使用BOM统一管理。现代实践强调容器化(Docker)、持续集成(Jenkins等)和云原生开发(Spring Boot/Kubernetes),同要注重JVM调优、安全实践和监控日志系统的建设。合理配置这些工具能显著提升开发效率和应用
【高级】系统架构师 | 2025年上半年综合真题DAY2
jingling555的博客
09-03 532
解析了多项计算机科学相关知识点,包括大模型生成代码的核心架构(Transformer)、测试组合计算(32种)、避免死锁的最小资源数(6个)、边缘计算特点(低延迟、高可靠性等)、需求跟踪的正向与反向区分、断路器状态(闭合、断开、半开)、单元测试依据(详细设计文档)、三层C/S架构(B/S属于三层)、净室软件理论基础(函数与抽样理论)、首次打开文件操作(加载FCB)、白盒测试分类(静态与动态)、Web服务器性能测试(不含UI测试)、开放式互联安全服务(数据机密性等)、服务关系描述语言(WSDL)
软件测试常见Bug清单
最新发布
HUACE4600的博客
09-04 219
这些资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。
性能测试-jmeter8-脚本录制
DW_101的博客
09-03 366
本文介绍了JMeter在性能测试中的应用,重点讲解了脚本录制和代理服务器的配置方法。主要内容包括:1)通过代理服务器录制Web页面HTTP请求,用于无接口文档项目的测试脚本编写;2)详细说明代理服务器配置步骤和过滤规则设置;3)Cookie管理器的使用,包括自动添加cookie到后续请求中。文章强调实践的重要性,并指出虽然JMeter录制功能较慢,但结合抓包工具能更有效地完成实际测试工作。
spring CORS漏洞
07-18
<think>嗯,用户需要了解Spring框架中CORS漏洞的修复方法和安全配置指南。这个问题很具体,说明用户可能正在处理实际项目中的安全问题。 用户提到的CORS漏洞在引用[1]和[3]都有涉及,特别是引用[3]明确指出了"CORS配置过于宽松"是常见的安全问题来源。用户可能遇到了跨域请求的安全隐患,需要具体的解决方案。 从专业角度看,CORS配置问题确实很常见。很多开发者为了方便调试会开放所有来源的跨域请求,但在生产环境忘记收紧策略,这会导致严重的安全漏洞。需要从漏洞原理、修复方法和最佳实践三个层面来解答。 用户提供的引用材料很有价值,其中引用[3]提到的"纵深防御原则"和"持续监控原则"特别适用于CORS配置。修复这类漏洞的关键是平衡功能和安全,既不能完全禁用CORS影响正常功能,也不能过度开放导致风险。 考虑到用户可能是Java开发人员,应该提供具体的代码示例。Spring Security提供了多种配置方式,包括全局配置和细粒度的@CrossOrigin注解。需要特别强调origin白名单的重要性,以及避免使用通配符的安全风险。 用户可能还需要知道如何验证配置是否生效,所以应该包含测试方法。另外,引用[4]提到的依赖库漏洞也值得注意,需要提醒用户保持Spring版本更新,因为旧版本可能存在CORS相关的安全缺陷。 这个问题涉及多个技术点:浏览器同源策略、Spring Security配置、HTTP响应头验证等。回答要分层说明,从漏洞原理到解决方案再到最佳实践,让用户能循序渐进地理解。</think>以下是关于Spring框架中CORS漏洞的修复方法及安全配置指南,结合行业最佳实践和漏洞防护原则: --- ### **一、CORS漏洞风险** 宽松的CORS配置会导致: 1. **跨域数据泄露**:恶意网站可读取敏感数据 2. **CSRF攻击增强**:攻击者利用信任域执行未授权操作 3. **权限绕过**:未验证的Origin头可能绕过访问控制 > 引用[1]指出:*"CORS配置过于宽松"* 是Spring安全配置的常见漏洞来源[^1] --- ### **二、修复方案与安全配置** #### **1. 精确配置Origin白名单** ```java @Configuration @EnableWebMvc public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("https://trusted-domain.com", "https://app.example.com") // 精确域名 .allowedMethods("GET", "POST") .allowCredentials(true) .maxAge(3600) .exposedHeaders("Authorization"); } } ``` **关键参数**: - `allowedOrigins()`:**禁止使用`*`通配符**,仅配置受信任域名 - `allowCredentials(true)`:需与具体域名配合,否则浏览器会拒绝 - `exposedHeaders()`:显式声明暴露的敏感头(如Authorization) #### **2. Spring Security分层防护** ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors(cors -> cors.configurationSource(corsConfigurationSource())) .csrf().disable(); // 根据场景谨慎关闭CSRF } CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Arrays.asList("https://trusted-domain.com")); config.setAllowedMethods(Arrays.asList("GET","POST")); config.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return source; } } ``` #### **3. 防御性响应头控制** 在`application.properties`中强制安全策略: ```properties # 阻止未定义Origin的请求 cors.allow-credentials=true cors.allowed-origins=https://trusted-domain.com # 添加安全响应头 security.headers.content-security-policy=default-src 'self' ``` --- ### **三、高危配置禁止项** | **错误配置** | **风险** | **正确做法** | |----------------------|--------------------------|--------------------------| | `allowedOrigins("*")` | 允许任意域访问 | 精确域名白名单 | | `allowedMethods("*")` | 开放高风险HTTP方法(PUT/DELETE)| 按需开放基础方法(GET/POST)| | 缺失`allowCredentials`| 浏览器可能拒绝合法请求 | 需与`allowedOrigins`配合 | > 引用[3]强调:*"输入不可信原则:所有外部输入都视为潜在威胁"*[^3] --- ### **四、验证与测试方法** 1. **渗透测试**: ```bash curl -H "Origin: http://malicious.com" -I https://your-api.com/data ``` 检查响应头中是否包含`Access-Control-Allow-Origin: http://malicious.com` 2. **自动化扫描**: - 使用OWASP ZAP进行CORS策略扫描 - 集成Trivy检查配置漏洞(引用[3]推荐)[^3] 3. **单元测试**: ```java @Test void testCorsHeaders() { mockMvc.perform(get("/api/data").header("Origin", "https://attacker.com")) .andExpect(header().doesNotExist("Access-Control-Allow-Origin")); } ``` --- ### **五、纵深防御措施** 1. **网络层**:WAF配置CORS规则过滤非法Origin 2. **应用层**: - 使用`@CrossOrigin(origins = "domain")`注解细化到控制器 - 实现`CorsFilter`动态验证Origin(如查询数据库域名白名单) 3. **监控层**: ```java @Component public class CorsMonitor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { String origin = request.getHeader("Origin"); log.info("CORS request from origin: {}", origin); // 审计日志 } } ``` > 引用[3]的纵深防御原则:*"网络层+应用层+数据层多重防护"*[^3] --- ### **六、版本安全建议** 1. 升级至Spring Security 5.7+(修复CVE-2022-22978等CORS相关漏洞) 2. 定期检查依赖库: ```bash mvn dependency:tree | grep 'spring-security' ``` 3. 参考[4]:*"如果您没有及修复或升级底层框架,会使组织暴露于固定漏洞的风险中"*[^4] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值