随着Internet技术的发展,基于HTTP协议的各种Web应用程序正在改变着我们的生活方式。然而Web技术发展中所带来的各种安全问题也引起了多方面的关注。在诸多Web安全问题中,最为重要和普遍的问题都来自于Web应用程序本身。由于Web体系结构和交互功能的特殊性,因此通过解释执行的脚本技术广泛的应用到Web应用程序的开发中。而在Web脚本的开发中,程序员的疏忽往往会给攻击者留下各种脚本漏洞,使攻击者能够通过这些漏洞有机可乘,获取Web应用程序和它们用户的机密信息。因此,如何提高Web应用程序对脚本攻击的免疫能力、保障Web应用程序的安全成为目前亟待解决的问题。本文先从Web应用程序的相关技术入手,介绍了HTTP协议,Web功能及Web脚本的相关内容。并对这些内容作出针对性的分析,探讨Web应用程序所面临的核心安全问题所在。在此基础之上,通过实例分析了几种常见的Web脚本攻击技术,主要包括注入攻击、跨站点脚本攻击和跨站点请求伪造攻击。本文的一大核心内容是对Web脚本攻击的防范进行研究。本文首先围绕Web应用程序的核心防御体系作出研究及阐述,在此基础上针对各种常见Web脚本攻击技术,本文分别研究了相关的防范机制,并阐述了实现的相关示例。对Web脚本漏洞的检测是本文的另一大研究重点。本文分别从软件测试中白盒测试和黑盒测试的方法对Web应用程序存在的脚本漏洞进行检测。在利用白盒测试的代码审查方法进行检测时,本文首先研究了各种Web脚本漏洞的漏洞特征,并在此基础上分别对服务器端脚本和客户端脚本的代码审查方法进行阐述。而在利用黑盒测试的渗透测试方法进行检测时,本文首先分析了现有的测试工具的不足,提出了一个针对Web脚本漏洞实施渗透测试的具体方法模型,并详细给出了模型中每一模块的具体实现方法。渗透测试中所用的拦截代理功能给建立中间人代理Web脚本攻击系统创造了理论基础,本文详细研究了该攻击系统的结构及实现,对该攻击方法做出了全面的评价,并给出了若干防御方法。