随着信息网络技术应用的日益普及，由于其国际性、开放性和自由性的特点，对安全提出了更高的要求。跨站攻击是针对web应用的一种网络攻击手段。攻击者通过跨站攻击将脚本代码注入至web应用中，并通过数据回显等方式反射或发送给客户端的浏览器并在客户端浏览器执行。恶意脚本将能够劫持客户端浏览器，盗取敏感数据。跨站攻击可以被攻击者视为实施进一步攻击的武器，利用跨站脚本劫持用户浏览器，注入恶意代码之后，攻击者可以结合其他攻击方式，对客户端和服务器造成更大的危害。在当前web2.0时代的网络背景下，跨站攻击逐渐成为危害巨大的攻击方式，然而，相当一部分的开发者，用户都没有意识到跨站攻击的严重性。本文首先提出了论文研究的背景和意义，分析了跨站攻防技术的研究现状和发展趋势，分析网络行为分析方法，介绍了跨站攻击的基本理论：AJAX技术和XHR对象、沙箱机制以及同源策略，然后借助跨站攻击的原理和3种基本的机制分析了基于网络行为分析的跨站漏洞的检测技术，开展了基于网络行为的跨站攻击检测技术分析，提出了整体设计框架，进行动态污点分析和静态污点分析，最后对传输点分析及敏感信息判断处理。分析了基于传统代码分析的跨站攻击的防御，分析其不足之处，为引出后面基于网络行为分析的防御措施做好铺垫。从基于行为学的网络安全策略入手，基于网络行为分析的方法提出了对跨站攻击的防御措施。