随着W3C标准的完善以及浏览器环境环境的日益改进，Web应用已经逐渐成为了网站开发的主要方式。由于移动互联网的热潮的来临，Web应用也借由"混合"应用(Hybrid Application)的开发模式进入了移动应用开发的领域。如今的Web应用已经渗透到了到互联网的各个角落。然而，Web应用的安全问题一直是一个较少受到关注的领域，专门针对Web应用安全问题的基础库的缺乏也使得开发者在开发过程中难以对安全隐患进行探测和防范。　　本文通过对现今Web应用安全问题的研究现状进行描述，针对几个较为常见的安全问题进行详细分析，并针对每个问题提出了全新解决方案。在第二章中详细分析了JavaScript劫持的相关问题，提出了在开发阶段和使用阶段进行探测的防范措施；在第三章中详细分析了XSS攻击的相关问题，提出了使用Observer对静态DOM进行监视，对动态标签创建方法进行重写的防范措施；在第四章中详细分析了用户追踪的相关问题，提出了EverCookie和Canvas指纹相结合的防范措施。本文的创新点在于针对三个常见的Web应用安全问题提出了全新的解决方案，和之前被动防守的思路不同，本文中提到的方法注重于主动出击，将问题防患于未然。另外，并创新性的将三种问题的解决方案合并到一起形成了一个针对Web应用安全的功能库Ace.js，该功能库已经在Github上开源。　　Web应用是现在现代Web技术发展的热点，也是面向未来的应用开发方式。本文中提到的问题和方法，对当前Web应用开发有重要的指导意义；根据本文产生的Ace.js功能库，对当前Web应用开发有重要的使用价值。