Question

做项目时领导让把jsp页面都放在web-inf下面说是要防止用户直接访问jsp页面，为么不能直接访问jsp

Answer 1

这是保护那部分jsp页面，如果没有登录验证，那部分jsp用户可以直接访问，这样很不安全，放在WEB-INF下面，就使得只能WEB-INF文件夹外jsp页面调用里面的jsp，这样来使用，就比如我们有一个后台系统，我们用一个页面（main）把其他子页面引入进来，我不想每个子页面都进行验证保护，我们把这些子页面放在WEB-INF下，我们只对main页面进行验证就可以

Answer 2

web-inf文件夹在正常情况下系统是不允许外界直接访问的，访问里面的文件就会出现404错误，但是系统可以自身进行访问，所有要使系统去访问的话就需要使用拦截控制器去接受外界命令，由控制器来转发访问请求，这样将网页放到web-inf下能降低网页的注入漏洞和BUG的出现概率，能很好的维护系统稳定！

Answer 3

跳过登陆，没有用户名和密码就可以使用