Не уверен, поможет ли это вам, но если вы используете какой-то шаблон Controller (например, Struts или пользовательский сервлет, который перенаправляет в JSP), рекомендуется Чтобы предотвратить прямой доступ к вашим страницам JSP, поместите их в каталог WEB-INF, а затем перешли на эти страницы с вашего контроллера. Подробности смотрите здесь: Как правильно поместить JSP в папку WEB-INF?
Стандарт Servlet 2.3 также определяет, как таким же образом предотвратить прямой доступ (без указания их в WEB-INF), что также требует перенаправления запроса на эти страницы. Подробнее см. Здесь: http://www.jguru.com/faq/view.jsp?EID=471953