Ok, este es un terrible error de logica y del manejo de la tecnologia para info restringida.
Como ya lo dijo AZ, primero que nada, no uses javascript para estos casos, javascript se ejecuta en el cliente, si no hay javascript en el cliiente, la redireccion no sera realizada.
Segundo, la validacion deberia ser la primera cosa y la unica que se ejecuta primero, logicamente, si una puerta esta cerrada simplemente no puedes entrar, al menos que este cerrada con una cortina.
Se hace la redireccion en el servidor y nada mas en el servidor y esto sera lo primero que se ejecute, hazte un include, solamente con una condicion bien sencilla:
Código:
if not session("usuario") = valor then
response.redirect("login.asp")
end if
listo, llamo a este include en la primera linea de cada archivo protegido, si no pasa, lo redireccionara, si pasa, ni siquiera notas que este archivo esta ahi.
Si no tiene cookies, no habra sitio, facil.
No es una cuestion de seguridad de la plataforma, es una cuestion de seguridad del programador. Lo mismo puede decirse del SQL Injection por ejemplo.
Salu2,