在计算机应用技术快速发展的2015年,基于网站应用的Web攻击已经引起攻击者的密切关注。Web 2.0出现以后,基于XSS(Cross Site Scripting)的漏洞攻击技术层出不穷,危害也越来越严重,运用了Ajax技术的XSS攻击能够实现隐私获取、挂马、钓鱼等非法目的,相继不断发生的重大网络入侵事件使得计算机用户面临重大威胁。目前主流的检测方法如火狐的NoScript插件都是基于输入输出的特征值匹配技术,通过复杂的正则表达式实现攻击检测,但是对于动态破坏原有文档结构完整性的跨站脚本攻击毫无办法。本文的研究针对前人提出的跨站脚本攻击检测工具设计的不足,结合现有的其他检测方案和辅助分析方法,提出了一种代理环境下的检测方式来发现跨站脚本攻击,并实现了原型系统XSSDetection。论文的主要工作和创新如下:首先,提出了提出了基于代理的攻击检测模型,能够不影响服务器的配置及策略实施,同时也不受不同浏览器和服务器解析容错机制的影响。其次,改进和优化了攻击检测算法,使用HTML解析与JavaScript引擎动态更新网页节点和查找注入点,优化了检测算法的匹配参数,使得算法对对多种攻击向量和攻击目的有效,并能有效的检测DOM型XSS攻击。最后,提出了一种URL精确白名单策略,利用白向量探测请求区分出不存在XSS漏洞的URL,减少了攻击检测范围,提高了系统的运行效率。实验表明,本文提出的XSSDetection系统和已有的检测工具相比,实现了低误报、低漏报的检测效果,并且响应时间小于同类工具Watcher,在横向比较中,比浏览器插件类的检测工具检测率及正确率更高,证明了本系统在跨站脚本攻击检测系统的设计上的有一定的参考意义和推广价值。