关于jsp页面是放在webroot目录下和web-inf下优缺点

问：

jsp放在webroot目录下 这样就可以让用户直接访问，jsp放在web-inf目录下就必须要通过请求才能访问。
因此放在web-inf下jsp页面显得要安全。 
既然这样 ，那是不是只要是需要通过请求才可以访问的页面就一定要放在web-inf目录下呢
还有放在webroot和放在web-inf目录下都各有什么明显的优缺点 。

答1：

通过设置过滤器，放在webroot下面的文件也可以实现不能直接访问。所以说放在哪里就看习惯是什么样了。

一般项目都是要求隐藏性的，只让客户通过请求访问而不是直接访问jsp页面。若放在webroot下面，肯定要加一个过滤器阻止所有对*.jsp的访问。只要比较的话：
放在webroot下面:优点，程序结构清晰，便于编码和维护；缺点，要加过滤器。
放在web-inf下面：优点，不用过滤器；缺点，打乱了程序结构，编码和维护麻烦点。

答2：

我作个比喻,放web-inf下为方法甲,放webroot下为方法乙.
就像一条河,本来有一个独木桥,人容易掉下去.
于是甲不走独木桥(不使用webroot访问jsp),只是在边上造一座安全的桥通行(用服务端转发方式访问jsp).
乙说有桥为什么不走,造桥多破坏环境呀,他要走独木桥,可是他的做法是先将独木桥踹飞("加一个过滤器阻止所有对*.jsp的访问"),再在原地造一座安全的桥通行(阻止了所有对*.jsp的访问,必然还需要一个服务端转发方式来访问jsp页面)
既然都不走独木桥为什么要那么麻烦还去理独木桥?直接另造座桥就好了.桥造在原地和造在边上有什么区别.更何况,两者在转发时的区别只不过是转发url中甲比乙多了一个文件夹.入口还不是一样.
放在webroot下又麻烦(要针对用户直接访问作一些预防动作)又不安全(一些敏感页面),放在web-inf下也不见得打乱了项目文件结构,怕和classes lib弄混,可以在web-inf下创个名为jsp的文件夹专放jsp文件.
直接用模板框架如freemarker,省了这些个麻烦~``

附言：有关路径问题？

关于JAVA EE项目在WEB-INF目录下的jsp页面如何访问WebRoot中的CSS和JS文件

在有Struts部署的Java EE环境中，我们一般把jsp页面写在WebRoot\WEB-INF\content 目录下，这样使得jsp页面一定需要struts的控制转发才可访问，提高页面安全性。

但是今天在jsp页面中应用WebRoot目录中的css，js文件发现十分困难，先看看我的文件结构：

 

目标是在index.jsp中访问default.css。

defautl.css是在index.jsp目录的父目录的父目录的CSS目录下。所以我这样写：

ps:空格为故意添加，不知为何会自动变成博客园的网址

        <link href="../ ../css/default.css" rel="stylesheet" type="text/css"/>
        <link href="../ ../css/uploadify.css" rel="stylesheet" type="text/css"/>

在Eclipes中也出现超链接提示，说明目录正确，但是结果失败。

查询资料后，在百度百科中看到：

http://baike.baidu.com/view/1745468.htm

　TomCat 服务器下的WEB-INF文件夹是一个非常安全的文件，在页面中不能直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。

从上面的实验可以看出，不但是直接访问，使用" ../ ../ "之类的间接访问也不能成功。

在此多方查询资料之后，尝试使用如下方法访问：

1         <!-- 输出为项目根目录，即WebRoot -->
2         <%String path = request.getContextPath(); %>
3         <link href="${path}/css/default.css" rel="stylesheet" type="text/css"/>
4         <link href="${path}/css/uploadify.css" rel="stylesheet" type="text/css"/>

原理很简单，变量path值为项目根目录，而css就是此目录的子目录，自然可以访问。

可惜结果还是错，思考之，el表达式的${}是以page,request,session,application的顺序寻找匹配的项，而path并不在这个范围之内，也许在java脚本中直接定义的对象是局部作用域，而不是page作用域？可惜百度之后难以找到相关资料，不过结论应该是没错的。

既然EL表达式无法取出，那么java脚本应该可以达到目的吧？尝试如下：

1         <%String path = request.getContextPath(); %>
2         <link href="<%=path %>/css/default.css" rel="stylesheet" type="text/css"/>
3         <link href="<%=path %>/css/uploadify.css" rel="stylesheet" type="text/css"/>

果不其然，页面成功读出了css文件中的样式，达到目的。不过此页面中存在java脚本，不够规范，查询资料后，用以下纯EL表达式实现：

1         <c:set value="${pageContext.request.contextPath}" var="path" scope="page"/>
2         <link href="${path}/css/default.css" rel="stylesheet" type="text/css"/>
3         <link href="${path}/css/uploadify.css" rel="stylesheet" type="text/css"/>

先将ContextPath放如page中，再使用el表达式取出，问题得以解决。