互联网的飞速发展给人们的生活带来了翻天覆地的变化,线上购物、移动支付等技术极大地方便了我们的日常生活。而在享受着互联网红利的同时,人们也越来越关注Web应用面临的安全问题。跨站脚本（Cross-Site Scripting,以下简称XSS）是一种很常见的Web安全漏洞,它灵活多样,危害性大,对用户个人信息保护和财产安全造成严重威胁。因此检测XSS漏洞,保障Web应用安全具有重要现实意义。而目前针对XSS漏洞的检测技术却并不完善,传统的检测方式主要以检测静态页面为主,且注入点单一。然而随着HTML5和异步交互的普及,XSS攻击已经有了更多的表现形式。针对上述问题,提出了基于事件监听的XSS漏洞检测方法,并设计并实现了一个XSS漏洞检测系统XSSD。XSSD通过驱动headless浏览器来解析动态网页,进行页面爬取和渲染,并且模拟用户交互行为,发掘潜在的注入点,扩大漏洞检测范围,弥补了传统静态爬虫无法获取动态页面内容的缺点。在攻击向量的生成上,充分研究并利用了HTML5新标签、新特征,扩充了原有的少量攻击方式,覆盖类型更全面。采用基于时间监听的方式来挖掘非格式化注入点和验证XSS漏洞,充分获取网页的所有交互点,并且采用直接提交HTTP请求的方式发起模拟攻击,来绕过前端的防御措施,提高模拟攻击的成功率。此外,系统提供了友好的用户交互界面,方便用户自定义检测任务,实时查看检测进度和结果,并且可以通过配置授权信息爬取需要用户权限的Web应用。基于靶场应用对XSSD进行功能测试,并且与同类型检测工具进行了对比测试。实验结果表明XSSD能够有效处理动态网页和异步请求,并且有效检测反射型和存储型XSS漏洞。相比其他同类检测工具,其误报率和漏报率都有明显地降低,且准确率有明显的提升。