本发明公开了一种JAVA WEB动态配置安全防御方法，包括以下步骤：A、设置“安全配置规则”，并定时同步配置修改；B、根据客户端发送的协议请求，获取“请求数据对象”；C、将“请求数据对象”与“安全规则模板”进行匹配和替换，并生成“脱敏后的请求数据对象”；D、触发安全事件响应链；E、将“安全脱敏的请求数据对象”传递给JAVA WEB应用，本发明通过设置报文拦截规则和数据替换规则，对存在XSS、SQL注入的请求参数的攻击请求进行信息安全脱敏，从而阻止攻击的发生。当出现新的HTTP安全攻击漏洞时，也只需要创建或修改安全规则模板，应用服务器可以自动同步配置修改，实现安全防护。