アプリケーションの作りによっては、不正な画面遷移により入力チェックを回避して登録処理が行えてしまうことがあります。トランザクション処理のセキュリティとかに（多分）分類されるこの問題は、セッション変数を利用したアプリケーションにおいて発生することが多いと思います。(推測)

中でも問題発生の可能性が高いであろう（推測）、Strutsを使用したアプリケーションにターゲットを絞って何故このような問題が発生するのかを考えてみます。

セッション変数を利用したトランザクション処理の代表的な例としては、複数画面を使用したユーザ登録処理があげられるかと思います。画面１では基本情報入力、画面２では商品発送先情報入力、画面３ではアンケート入力などの入力項目がいっぱいある登録処理です。
このようなアプリケーションを実装するときに、セッション変数の使用が選択されるケースは多いでしょう。
セッション変数の使用と比べ、hidden値の使用には以下のような欠点があるからです。

• hidden値を各画面(JSP)に記述するのがめんどくさい

戻るボタンの実装＆扱うパラメータ値の変更を検討すると、めんどくさくて嫌になります。

• データベース登録用のBLに渡すために、各画面全ての入力値がまとまったオブジェクトが作りにくい

一つにまとまってる方が嬉しいときがあります。（嬉しくないときもあります）

• テスト項目が増えちゃう

やりとりされるパラメータの数が増えると、テスト項目が増えちゃうのでめんどくさいです。

そんなこんなで、セッション変数の使用が確定した場合の実装方法を考えると、入力値をオブジェクトに変換してくれるActionFormはスコープをセッションに指定して使用出来ることが判明します。
これは便利です。画面１、画面２、画面３、登録確認画面、登録処理といった一連の流れで、同じActionFormを使用したロジックを実装することが出来そうです。ActionFormには、画面１、画面２、画面３全ての入力項目用のフィールドを定義して、戻るボタン、次へボタン、確認ボタン、登録ボタンを実装したところ思い通りの動作をしてくれました。
次は入力値の検証機能を実装します。Validatorを使いましょう。セッション変数への保存なので、検証タイミングは画面１→画面２、画面２→画面３、画面３→登録確認画面でよさそうです。検証を通過しないと次の画面へは進めません。実装してみると思い通りの動作をしてくれました。あとは、２度押し防止と、CSRFとかいうめんどくさい問題に対応するために、登録確認画面→登録処理の遷移でTransactionTokenを使用した対策を入れておきましょう。
セキュリティ的にもばっちり対策してそうなアプリケーションの出来上がりです。

と、こんな感じで実装しちゃうと入力検証を回避されちゃう可能性があります。