Come ti dicevo ieri:
codice:
request.setAttribute("isLogged", "0");
con questa istruzione tu vai a settare un attributo sulla richiesta quindi quando dalla pagina "esitoLogin.jsp" fare un ulteriore richiesta, es link ad un'altra pagina per esempio, quell'attributo non esisterà più quindi e come se l'utente non fosse loggato; ecco perchè ti avevo consigliato di usare la session.
Per quanto riguarda l'invalidamento delle sessione, session.invalidate(), essa può essere fatta come dici tu su una servlet oppure in una .jsp usando le scriplet (<% session.invalidate();%>).