HTML5技术凭借其新的功能和特性，在丰富了Web应用的同时，也存在诸多漏洞。虽然随着各种Web防御工具的开发和安全防范技术的提高，减少了诸如SQL注入、跨站脚本（XSS）等Web应用程序的漏洞。然而，日前一些窃取和利用用户存储在浏览器中的会话等敏感信息的攻击仍在不断的涌现，CSRF攻击就是其中一种重要的攻击方式，它被列为基于HTML5的Web应用的前十大攻击方式之一。可是，目前Web开发人员和用户对CSRF漏洞的重视程度并不够，由此导致在基于HTML5的Web中存在较大的安全风险。鉴于此，本文将从基于HTML5的Web存在的安全问题入手，对基于HTML5的CSRF攻击的产生原因、攻击过程进行深入分析，在此基础上提出针对基于HTML5的CSRF攻击的检测手段和防御措施，以期为从事HTML5开发和利用的人员提供一些参考。本文的主要内容有：1、深入考察了目前Web中所采用的一些安全策略存在的缺陷，主要包括同源策略、跨域资源共享以及Cookie安全策略等，分析了这些安全策略所存在的漏洞和引起CSRF攻击的原因。2．通过搭建HTML5环境，验证攻击者是如何利用HTML5中的CSRF漏洞来实现绕过同源策略的CSRF攻击，如何利用跨域资源共享进行CSRF攻击和如何实现CSRF蠕虫攻击。3．在分析HTML5中的CSRF漏洞，验证攻击实现过程的基础上，提出如何利用工具和手动方式对CSRF漏洞进行检测，并利用验证码、HTTP Referer、Token机制和在HTTP头中自定义属性等方式对HTML5的CSRF攻击进行防御。