在最近几年内随着HTML5技术和Ajax技术的广泛运用,Web应用给用户的生活带来了巨大的改变和便利,但是由于Web应用的安全威胁的存在,例如CSRF攻击,给用户财产和隐私带了巨大的威胁。因此本文对CSRF攻击以及HTML5和Ajax技术进行研究分析。对HTML5及Ajax技术,本文首先从它们的发展历程出发,进行研究分析,找出它们如今使用功能的新的特性。但是在面对安全威胁时,如Dos攻击,SQL注入,XSS攻击以及CSRF攻击时,HTML5和Ajax技术中的一些新特性会给这些攻击带来便利,通过研究这些攻击形式给出了避免遭遇攻击的保护措施。对于CSRF攻击的研究,本文首先将其与XSS攻击联系起来对其进行一个大体上的描述,从而提出它的攻击原理,并通过对攻击原理的分析,给出了CSRF攻击不可避免的根本原因。本文结合HTML5和Ajax技术对Web应用下的安全策略进行研究讨论,主要是对同源策略,Cookie策略以及跨源请求共享进行分析。因此本文通过HTML5和Ajax技术搭建了一个Web应用,并采取了安全策略及普遍的防御手段。然后通过对这个Web应用的研究从而进行CSRF攻击测试,分别从无安全、有安全保护以及安全策略的攻击三个方面进行攻击测试。并通过攻击测试的分析及研究提出了新的CSRF攻击防御手段,主要是通过form表单验证和Ajax请求验证这两个方式来对Web应用安全进行保护。