要是直接关闭浏览器,并不直接触发SESION_ONEND事件,因此为了安全的需要,就需要调用页面关闭触发的事件onUnload ,利用这个事件来执行一个函数.在函数中调用session.abandon 事件,这样才是真正的实现了没有漏洞的SESSION的清除,如果只是单独利用session.abandon将导致直接关闭页面时SESSION还存 在,如果只是利用让服务器自动引发的SESSION_TIMEOUT事件,将在设置时间没有结束的一段时间内,SESSION还存在,这两种都存在安全漏 洞。
解决方法:
<body οnbefοreunlοad="window.location='logout.jsp'">  
  在logout.jsp里面做注销session的事情。
 
logout.jsp:
<%
HttpSession session = request.getSession();
  session.invalidate();
%>