本申请涉及一种基于贝叶斯网络及STRIDE模型的XSS风险分析方法及装置。所述方法包括：构建网络信息发布系统关于XSS攻击相关的STRIDE威胁模型；根据STRIDE威胁模型，得到XSS攻击贝叶斯网络风险分析模型的网络结构；根据专家经验和排序节点算法，上述网络结构中所有节点的先验概率；然后通过拒绝性采样算法或直接抽样的方式进行仿真得到训练数据集；采用训练数据集对XSS攻击贝叶斯网络风险分析模型的网络结构进行网络训练，得到XSS攻击贝叶斯网络风险分析模型，然后对贝叶斯网络进行推理，得到网络系统遭受XSS攻击风险的量化分析结果。采用本方法能够实现针对C2网络中Web系统遭受XSS攻击风险的积极量化分析。