Как можно предотвратить прямой доступ к JSP-странице из браузера?

Можно использовать несколько подходов:

1. Хранение JSP в каталоге WEB-INF: Содержимое каталога WEB-INF недоступно напрямую из браузера. Это стандартный и наиболее распространенный способ.

   // Структура проекта
   WEB-INF/
       web.xml
       jsp/
           myPage.jsp
       classes/
       lib/
   

   Доступ к myPage.jsp в этом случае осуществляется через сервлет или другой контроллер, который выполняет RequestDispatcher.forward().

2. Настройка ограничений доступа в web.xml: Можно использовать элемент <security-constraint> для ограничения доступа к URL-паттернам, соответствующим JSP-страницам.

   <!-- web.xml -->
   <security-constraint>
       <web-resource-collection>
           <web-resource-name>Protect JSP pages</web-resource-name>
           <url-pattern>*.jsp</url-pattern>
       </web-resource-collection>
       <auth-constraint/> <!-- Пустой auth-constraint означает, что никто не имеет доступа -->
   </security-constraint>
   

   Этот способ перехватывает запросы к любым JSP-файлам и предотвращает прямой доступ.

3. Использование сервлетов как контроллеров: Вместо прямого доступа к JSP, запросы направляются на сервлет, который обрабатывает логику и затем выполняет forward на соответствующую JSP-страницу, расположенную в WEB-INF.

   // Пример сервлета
   @WebServlet("/myController")
   public class MyController extends HttpServlet {
       protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
           // Логика обработки запроса
           request.getRequestDispatcher("/WEB-INF/jsp/myPage.jsp").forward(request, response);
       }
   }
   

Наиболее эффективным и надежным методом является сочетание хранения JSP в каталоге WEB-INF и использования сервлетов (или других контроллеров) для доступа к ним. Это обеспечивает разделение логики и представления, а также контролируемый доступ к страницам.