在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息。
清除session对象内容的主要方法如下:
(1)、removeAttribute()方法。该方法是用来删除session对象中保存的指定属性信息。
例如:session.setAttribute("name", "iverson");session.removeAttribute("name");
(2)、invalidate()方法。该方法可以清除session对象中的所有信息。
例如:session.invalidate().
通常情况下,关闭浏览器后,session信息需要等到session对象失效后才能清除,如果需要实现关闭浏览器后即可清除session信息,请尝试用以下方法。
<body οnbefοreunlοad="window.location='logout.jsp'">
logout.jsp页面中,可以这么做:<% HttpSession session = request.getSession(); session.invalidate(); %>
--------------------------------------------------------------------------------------------------------------
设置session失效时间的3种方法
session-timeout(web.xml)元素与session.setMaxInactiveInterval()函数
a) web app server中,如websphere里可以设置超时时间为30分钟
b)在web.xml中的session-config配置
session-timeout元素(WEB.XML文件中的元素)用来指定默认的会话超时时间间隔,以分钟为单位。该元素值必须为整数。如果 session-timeout元素的值为零或负数,则表示会话将永远不会超时。如:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
//30分钟
setMaxInactiveInterval设置的是当前会话的失效时间,不是整个web的时间,单位为以秒计算。如果设置的值为零或负数,则表示会话将永远不会超时。常用于设置当前会话时间。
c) 在程序中手动设置
java 代码
session.setMaxInactiveInterval(30 * 60);
想问两个问题:
一、它们的优先级?我想C应该最优先,但a和b 呢
二、如果一个应用的多个地方设置了不同的interval,会对session有影响吗?
如后台管理用户登录设置超时时间为30分钟,前台用户登录设置超时时间为15分钟。
此时的setMaxInactiveInterval是只影响servlet容器session的实例?还是影响整个容器(如果是这个,就有问题了)
--------------------------------------------------------------------------------------------------------------
附上一条,单存js控制
<script type="text/javascript"> window.οnbefοreunlοad=onclose; function onclose() { if(event.clientX>document.body.clientWidth&&event.clientY<0||event.altKey) { //alert(); sessionStorage.clear(); } } </script>
摘自:
https://blog.csdn.net/chuxuan0215/article/details/72842646
可参考:
https://blog.csdn.net/chs_jdmdr/article/details/7363446
https://blog.csdn.net/qq_38799885/article/details/82705835