Если вы используете какой-то фреймворк, например Struts2, у вас будет расширение (* .action или все, что вы выберете), сопоставленное с сервлетом диспетчера. Диспетчер «перенаправляет» запрос в JSP, который находится в каталоге WEB-INF. Пользователи видят только тот URL, который был направлен на сервлет, и возвращают HTML. Они не могут сказать, какой был язык шаблона. Поскольку вы можете выбрать все, что вам нравится для отображения сервлета, вы можете что-то придумать или даже перенаправить их с помощью чего-то вроде «.php» или «.asp».
Конечно, некоторые JSP могут быть прямо в каталоге веб-приложения, а не в WEB-INF. Вы можете дать им другое расширение и указать контейнеру обрабатывать их как JSP, создав <jsp-property-group> с элементом url-pattern, который задает поддельное расширение в web.xml.
Вам также необходимо изучить документацию вашего контейнера, чтобы определить, как скрыть любую информацию о версии сервера, которая может быть отправлена. Еще одна вещь, которую нужно изучить, - это как изменить имя файла cookie сеанса на что-то отличное от «jsessionid». Это что-то вроде дешевой распродажи, но это часть спецификации Servlet, и некоторые контейнеры не поддерживают ее изменение.