session 安全問題（關閉頁面時自動清除session）

 要是直接關閉瀏覽器，並不直接觸發SESION_ONEND事件,所以爲了安全的須要,就須要調用頁面關閉觸發的事件onUnload ,利用這個事件來執行一個函數.在函數中調用session.abandon 事件,這樣纔是真正的實現了沒有漏洞的SESSION的清除,若是隻是單獨利用session.abandon將致使直接關閉頁面時SESSION還存 在,若是隻是利用讓服務器自動引起的SESSION_TIMEOUT事件,將在設置時間沒有結束的一段時間內,SESSION還存在,這兩種都存在安全漏 洞。 解決方法： <body onbeforeunload="window.location='logout.jsp'">     在logout.jsp裏面作註銷session的事情。   logout.jsp： <% HttpSession session = request.getSession();   session.invalidate(); %>