把JSP放到WEB INF后以保护JSP源代码

    把那些限制访问的资源（比如说jsp源代码）放到Web应用的WEB-INF目录下，对于/web-INF/及其子目录，不允许直接的公共访问，所以就可以起到保护这些代码未经授权的访问和窥视，更好的保护了源代码。
    通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。这种方法的问题是这些页面文件容易被偷看到源代码，或被直接调用。某些场合下这可能不是个大问题，可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的controller直接调用JSP同样也是个问题。为了减少风险，可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明，WEB-INF不作为Web应用的公共文档树的一部分。因此，WEB-INF目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户，客户却不能直接请求访问JSP。
    如果把这些JSP页面文件移到WEB-INF目录下，在调用页面的时候就必须把"WEB-INF"添加到URL中。
    我们知道，实现页面的跳转有两种方式，一种是通过redirect的方式，一种是通过forward的方式。redirect方式的跳转，系统会在一个新的页面打开要跳转的网页；而forward方式跳转，系统会在原来的页面上打开一个要跳转的网页。所以放到WEB-INF目录下的文件是不允许采用redirect方式的跳转来访问的。
    个人认为，一般jsp进行编程的系统，因为很多页面上都有采用submit这样的方式来进行跳转，但这种方式却非常适合采用struts结构的系统。因为采用这个结果大多是先跳转到一个Action类，然后在Action类进行相关处理后（比如说获取相关的信息保存到session中，进行有效性的判断），然后再forward到另外一个页面，这样放到WEB-INF中的jsp代码可以被正常访问，也防止了对这些页面的直接访问。