2020年国家信息安全漏洞共享平台（China National Vulnerability Database,CNVD）所披露的数据显示,当前互联网环境中Web应用类型漏洞占总体漏洞数量的26.5%,可见互联网环境中的Web应用程序面临着极大的安全威胁。代码注入攻击与XSS（Cross Site Scripting）攻击是目前Web应用程序面临的主要威胁,针对此类攻击的传统防御手段,存在过滤规则易被绕过、检测准确率难以保证、防御形式较为被动等缺点,难以全面有效的防御攻击。随机化技术是一种面对攻击的主动防御技术,该技术旨在将防御目标进行功能等价的转化,在保持原有功能的基础之上,改变实现方式,向攻击者呈现出不确定的攻击目标环境,导致攻击者利用先验知识精心构造的攻击方式无法实施,从而增强系统的防御能力。本文从随机化技术的特性出发,提出并设计了服务端代码执行环境随机化架构与基于随机化的XSS攻击防御架构,并在此基础更进一步,将部署两种架构的服务端抽象为随机化服务端,分析了随机化服务端的潜在威胁,在随机化服务端的基础上,结合拟态防御技术中动态异构冗余（Dynamic Heterogeneous Redundancy,DHR）架构的优势,设计了拟态Web应用安全框架。论文的研究内容及创新点如下:1.面向服务端,提出了语言解释环境随机化与模板引擎解析环境随机化两种方法,并在此基础上结合动态思想,实现了服务端代码执行环境随机化架构RANDcode,增强了Web服务端针对代码注入攻击的防御能力。实验结果表明,RANDcode架构能够有效防御解释型语言注入攻击与服务端模板注入（Server-Side Template Injection,SSTI）攻击。2.面向客户端,实现了针对XSS攻击的防御架构RANDJS,对服务端受信任的HTML与Java Script代码随机化处理,在响应结果交付给客户端之前对经过随机化的受信任代码与未经随机化的恶意代码进行区分,并过滤恶意代码,以此提升Web客户端面对XSS攻击时的安全性。通过实验表明,RANDJS架构能够有效防御反射型与存储型XSS攻击。3.实现了拟态Web应用安全框架,将部署RANDcode与RANDJS架构的服务端抽象为随机化服务端,通过分析随机化服务端的潜在威胁,结合拟态防御技术中的DHR架构,利用异构冗余结构与输出裁决机制,弥补随机化服务端的随机化方法被破解情况下防御能力的不足,提升了系统整体的安全性,通过实验和现网数据表明拟态Web应用安全框架在某个随机化服务端的随机化方法被破解的情况下依然能够保证系统整体的安全性,并且在现网环境中具有一定的防御能力。