Hola Jesus, he probado a borrar el atributo usuario antes de invalidar la sesión, pero no he conseguido nada, al poner la url directamente sigue cogiendo la sesion de algun sitio y el usuario no se ha borrado

A proposito, utilizo

<%@ page session="false" contentType="text/html" %> al principio de la pagina jsp.

Estoy seguro de que las paginas se quedan en la cache del navegador y por eso puedo volver sin loguearme. ¿Sabéis de algun script para evitar que queden en la cache?

Gracias y saludos!!!