跨站脚本(XSS)漏洞是近年来报道最多的一种Web应用程序安全漏洞,它能够威胁Web应用程序用户的数据安全。DOM型XSS漏洞是XSS漏洞的第三种形式,它是一种基于文档对象模型(DOM)的XSS漏洞。DOM型XSS攻击则源于DOM相关的对象方法及属性被插入用于XSS攻击的脚本,目前对它的研究还比较少。DOM型XSS攻击具有两个特点,一是攻击脚本不出现在Web页面原始HTML文本中;二是攻击脚本不需要传送到服务器端。因此,DOM型XSS攻击的防范方法需要解决两个要点,一是客户端要有足够的信息区分Web页面中的可信内容(Web开发者约定的内容)与不可信内容(包含恶意脚本的内容);二是客户端要分析DOM动态更新后的HTML文本。根据以上两点,我们构造了一个DOM型XSS攻击的防范模型。这个模型由服务器端模型和客户端模型两部分组成。服务器端模型我们采用MVC模型,主要任务是使用随机数前缀标识可信内容中的DOM型XSS相关的对象方法及属性中出现的HTML标记。客户端模型我们通过修改脚本解析引擎实现,目的是得到DOM动态更新后的HTML文本,然后根据服务器端发送过来的随机数前缀,区分可信内容与不可信内容,以达到防范DOM型XSS攻击的目的。我们给出了防范模型的一个原型实现,并通过实验验证了防范模型的有效性,其性能也到达了一般Web用户的要求。