随着互联网技术的不断发展,Web应用变得功能更丰富、交互性更强。用户既是网站内容的浏览者,也是网站内容的创造者。由于网站信息来源的多样化,目前针对Web应用漏洞的攻击已超过所有安全漏洞攻击的三分之二。其中,跨站脚本(cross-site scripting,XSS)攻击已经上升为互联网中数量最多的攻击手段。跨站脚本攻击者通过向网页插入恶意脚本代码,导致用户浏览网页时代码在浏览器中秘密自动执行,从而窃取用户隐私信息。如何检测网站中潜在的XSS漏洞,是当前漏洞检测技术的研究热点。现有的XSS漏洞检测技术还不够完善,存在需要源代码公开、检测虚警率和漏警率高、只能检测已知漏洞等缺点。因此,需要展开进一步的研究。本文对XSS漏洞的检测原理、实现技术和研究现状进行了深入的学习研究,完成的主要工作如下：首先基于模糊测试技术,设计了一种新的XSS漏洞检测模型,该模型具有实施方便、无源码限制、自动化程序高等优点；其次,针对目前难以检测未知漏洞的问题,设计了一种基于服务器过滤删除机制的上下文无关文法测试数据动态生成算法,能对预定义测试数据无法发现的未知漏洞进行有效检测；然后,设计了一种结合HTML(HyperText Markup Languag)解析和API(Application Programming Interface)挂接两种方式的目标网站实时检测方案,实现了检测系统的自动化操作。最后,使用PERL语言实现了一个基于模糊测试技术的XSS漏洞检测原型系统,实验证明,原型系统能对目标网站进行详尽的遍历搜索,有效的挖掘现实网站中潜在的XSS漏洞,且具有较高的智能化和自动化程度。