随着互联网的广泛普及,Web应用平台已经逐渐成为互联网信息交互的中心,随之而来的是Web应用面临的越来越严重的安全威胁,如何保障Web应用安全已经成为一个重要的研究课题。针对Web应用的攻击与传统网络攻击相比具有许多新特征,如采用正常的HTTP协议携带恶意数据,使得传统的网络层防火墙和入侵检测系统无法识别,必须从应用层的角度出发进行安全防护。本文首先研究了ⅡS平台架构以及设计了ⅡS安全防护系统的整体框架。在此基础上,深入研究了跨站点脚本攻击和网页篡改攻击这两种影响最为严重的Web应用攻击,针对基于Windows平台的Web服务器提出了相应的安全防护策略,并进行了设计与实现。针对于跨站点脚本攻击,研究跨站点脚本攻击的类型以及相关的防御方法,采用正则表达式对攻击行为进行描述,并基于服务端防御技术设计实现了一个Web服务端防御跨站点脚本攻击防护模块。该防护模块被嵌入到Windows平台下Web服务器软件ⅡS中,可以在HTTP请求未提交给ⅡS处理系统模块处理前分析请求数据,达到了实时拦截攻击行为并记录告警日志的目标。该模块实现中同时结合了临时黑名单访问限制功能,可以拒绝来自多次尝试攻击发起方的请求。针对网页篡改攻击,在深入研究比较各种防御技术优缺点的基础上,基于Windows的文件系统过滤驱动技术设计实现了网页防篡改功能,通过拦截与分析IRP流,实现了对所有受保护的网站目录的非法操作的截断。为避免文件过滤驱动被绕过,同时采用了应用层事件触发机制进行监控,实现了更为安全可靠的防篡改功能。通过LoadRunner测试表明,本文设计的Web网站防护系统可以有效地防御XSS攻击和网页篡改攻击,同时对服务器响应延迟和负载影响较小。