随着Internet技术的发展，Web应用程序越来越流行，已经成为提供在线服务的一种主要方式。与此同时，Web应用程序地位的提升也直接导致了其漏洞可能带来更为危险的安全隐患。Web应用常常利用嵌入网页中的JavaScript代码来支持客户端的动态行为，这个脚本代码就在用户的浏览器中执行。攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权的操作，或者向其发动其他攻击。这种攻击方式就叫做跨站点脚本(Cross Site Script，简称XSS)攻击。　　一般来说，XSS攻击很容易执行，却很难检测和阻止。一个原因是HTML编码方案的高度灵活性，为攻击者提供了很多可能性来绕过服务器端输入过滤器，这些过滤器本来是要阻止向信任站点注入恶意脚本。另一方面，由于如何确认一段JavaScript代码是恶意的很困难，所以也不容易提出一个客户端解决方案。现有研究文献提出了关于XSS安全的研究主要包括防御和检测，其中检测方案主要包括静态检测和动态检测两种方式。本文在前人的研究基础上，提出了一种将静态检测与动态检测结合的新式XSS漏洞检测方式。为综合两种检测方式，本文在前人的基础上对以往的静态检测与动态检测都做了相关的改进，以达到两种检测方式的优势互补。