随着互联网的发展,Web技术日益普及,Web前端已经成为用户访问互联网的入口。但是与此同时,Web前端技术存在的的许多安全问题,会造成用户的信息泄漏。针对Web前端的攻击,目前主流的防御方式是使用Web应用防火墙,然而传统的WAF却有诸多弊端。本论文首先对Web技术进行介绍,并对主流的Web前端攻击方式进行较为深入的剖析和研究。然后本文针对近年来出现的下一代Web技术——HTML5和HTTP/2一—进行了深入的分析和研究,对其提供的新的特性,新的机制和新的API进行了研究,并总结出可能导致信息泄漏等Web安全问题。然后本文总结了Web前端攻击的常见方法,并指出Web漏洞扫描工具对Web安全的隐患。针对这些安全问题,本文提出了相应的可行的防御方案。本文针对传统的WAF提出了一套改进系统。该系统不但可以有效的防御XSS攻击和CSRF攻击,它还可以根据客户端收集的信息判别用户身份。该系统主要分为客户端和服务器端两个部分,其中客户端对表单输入进行验证,对输出进行编码并对用户行为收集分析;服务器端接收客户端信号,根据用户身份判别异常流量,采取相应的处理方案。根据此设计,结合项目需求,本文实现了基于客户端信号的Web安全防范系统,并成功部署在项目系统上。经测试表明,此防范系统可以有效防御前端攻击、拒绝来自非正常用户的大量异常请求,保护项目的安全。