JSP页面源码目录安全

      通常，jsp开发人员会把他们的页面存放在webRoot目录的相应目录下面，基于不同功能的JSP页面存放在相应的 目录下面。

      这种做法的一个问题是这些页面文件容易被偷看到源码，或直接调用。某些场合下可能不是大问题，可在一些特殊的场合中却可能构成安全隐患，用户可以绕过Struts的controler直接调用JSP也同样是一个问题。

为了减少风险，可以把这些页面放到WEB-INF目录下面。基于Servlet的声明，WEB-INF不作为WEB应用的公共文档树的一部份。因此，WEB-INF目录下的资源不是为用户直接服务的。