如何防止用户恶意跳转

定义个session 验证成功session赋值为1
跳转时判断下session的值

登录成功的时候设置一个session变量，可以为用户名或者其他值，然后做一个页面，里面输入
<%@taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<c:if test="${empty uname}">
<jsp:forward page="/login.jsp"></jsp:forward>
</c:if>
其中uname是你设置的变量名，login.jsp是你想要他跳到的页面。然后在每个页面中 加上<%@include file="/inc/islogin.jsp" %>其中inc/islogin.jsp要设置成你自己的路径。
或者设置一个过滤器，在过滤器中判断session是否已经设置了变量，如果为空，则跳转。
在注销的时候要删除这个变量

检测用户是否登陆的过滤器(Filter )

public class CheckLoginFilter implements Filter
{
protected FilterConfig filterConfig = null;
private String redirectURL = null;
private List notCheckURLList = new ArrayList();
private String sessionKey = null;

public void doFilter(ServletRequest servle