跨站脚本(XSS)攻击是目前Web应用程序最大的安全问题之一。最近研究人员提出的漏洞检测模型XSS-SAFE通过Java Script的特征注入和Java Script源码注入消毒程序完成自动化的XSS攻击检测,该检测模型对五个真实项目进行了评估,结果表明XSS-SAFE漏洞检测模型具有较高的准确率、较低的运行载荷、较低的误报率。本文分析了XSS-SAFE漏洞检测模型的基本组件和关键技术,发现其存在两个不足之处:一是特征注入的位置冗余造成检测效率降低,同时导致误报率提高;二是XSS-SAFE偏差检测器正确率有待提高。本文针对XSS-SAFE模型存在的不足之处进行了改进和完善。具体的研究工作包括以下两个方面:1)基于分类特征和动态测试相结合完善了恶意代码和良好代码的分类方法。在特征注入之前通过分类特征和动态测试的方法完成恶意代码和良好代码的初步筛选,对特征注入器进行了改进,大幅度减少了特征插入位置。通过实验详细对比分析了改进后的效果。2)Apriori算法是一种快速获取频繁项集的算法,结合Apriori算法和FP-growth算法,探索了发现攻击向量特征频繁项集的新方法。对众多的XSS攻击语句进行分析,按照攻击向量的特征分类找到其频繁项集。其次对用户请求进行分析并通过FP-growth算法来高效过滤用户请求,最终降低了XSS-SAFE模型中偏差检测器模块特征对比次数,提高了模型的正确率和效率。