Web2.0应用程序以其界面友好、功能丰富、实用性强等特点受到越来越多Web应用开发者和使用者的青睐。基于Web2.0应用程序的特点,它允许接受不受信任的来源,导致针对Web2.0应用程序漏洞的攻击已超过所有安全漏洞攻击的三分之二。随着Web2.0的发展,越来越多的计算工作被放到客户端处理,AJAX(Asynchronous JavaScript and XML)技术就是这一技术最典型的应用。但目前的安全技术发展远远落后于应用技术的发展,使得其屡遭攻击。JavaScript是AJAX程序的基石,正常程序需要利用它使程序交互性更强,同时攻击者也会利用它达成各种攻击目的,跨站脚本(cross-site scripting, XSS)攻击就是最常利用JavaScript来编写恶意代码侵害Web用户的攻击手段之一。MITRE’s CVE列表显示,在各种Web漏洞中,XSS已成为最普遍且最危险的漏洞之一,通过向网页插入恶意脚本代码,导致用户浏览网页时恶意代码在浏览器中不知不觉的执行,窃取用户隐私信息。如何区分JavaScript代码的正常和恶意部分成了检测跨站脚本的关键之所在。基于上述原因,本文提出了一种JavaScript执行流分析的AJAX应用程序跨站脚本检测方法,通过分析AJAX程序在客户端浏览器中运行时JavaScript函数的执行流,形成有限状态机(finite-state automata, FSA)来模拟程序的正常运行行为。本文的工具部署于代理中,无需修改程序源代码及用户浏览器,在用户请求的页面到达浏览器前分析JavaScript函数执行流,若与相应的有限状态机不匹配则判定页面被入侵,并移除XSS代码将无恶意代码的页面发送给用户。本文最后用多种AJAX程序对该方法进行了测试,并证明了其有效性及可接受的性能开销。