HTML5技术由于其对移动设备的良好支持、跨浏览器、易使用等特点,已经在Web应用中越来越流行。然而HTML5兴起的同时也带来了一些安全问题。HTML5中仍然存在着旧的攻击形式例如跨站脚本攻击、点击劫持攻击、跨站请求伪造攻击等,同时HTML也引入了一些新的攻击方式,例如API的滥用、离线应用缓存中毒、本地存储攻击等等。因此在HTML5越来越流行的同时,其带来的安全漏洞导致的危害的也越来越严重,本文所研究的基于HTML5的Web安全及防御也有重要的意义。本文针对当前HTML5最主要的攻击即跨站脚本攻击进行了详细的研究和分析,深入研究了跨站脚本攻击的入侵检测算法,设计了基于跨站脚本攻击的防御模型,并实现了防御系统,本文主要的工作如下:(1)提出了基于HTML5的XSS攻击防御模型。对该模型的总体架构进行了设计,防御模型分为客户端、入侵检测以及服务端三部分,详细阐述了各部分的工作原理。(2)研究并实现了 XSS入侵检测算法。采用字符串匹配算法对XSS攻击进行入侵检测,并对常见的KMP算法进行改进,将改进后的算法应用到XSS防御系统中。(3)设计并实现了基于HTML5的XSS攻击防御系统。对系统总体框架进行设计,并对三个主要模块客户端防御模块、入侵检测模块和服务端防御模块进行了详细设计,并给出具体的实现方案。(4)对XSS攻击防御模型进行试验和评测。评测表明,本文提出的基于HTML5的XSS攻击防御模型能够满足一般的Web应用对于跨站脚本攻击的防御要求。