Hola Jesus, he probado a borrar el atributo usuario antes de invalidar la sesión, pero no he conseguido nada, al poner la url directamente sigue cogiendo la sesion de algun sitio y el usuario no se ha borrado
A proposito, utilizo
<%@ page session="false" contentType="text/html" %> al principio de la pagina jsp.
Estoy seguro de que las paginas se quedan en la cache del navegador y por eso puedo volver sin loguearme. ¿Sabéis de algun script para evitar que queden en la cache?
Gracias y saludos!!!