session 安全问题（关闭页面时自动清除session）

 要是直接关闭浏览器，并不直接触发SESION_ONEND事件,所以为了安全的须要,就须要调用页面关闭触发的事件onUnload ,利用这个事件来执行一个函数.在函数中调用session.abandon 事件,这样才是真正的实现了没有漏洞的SESSION的清除,若是只是单独利用session.abandon将致使直接关闭页面时SESSION还存 在,若是只是利用让服务器自动引起的SESSION_TIMEOUT事件,将在设置时间没有结束的一段时间内,SESSION还存在,这两种都存在安全漏 洞。 解决方法： <body onbeforeunload="window.location='logout.jsp'">     在logout.jsp里面作注销session的事情。   logout.jsp： <% HttpSession session = request.getSession();   session.invalidate(); %>