No es buena idea que se accedan directamente a los JSP. DeberÃa hacerse a través de un Action, o un forward:
Y para asegurarnos de que no lo va hacer, es mejor protegerlo desde la configuración de la aplicación web:
<html:link action="/algunAction">...</html:link>Y para asegurarnos de que no lo va hacer, es mejor protegerlo desde la configuración de la aplicación web:
<web-app>
...
<security-constraint>
<web-resource-collection>
<web-resource-name>no_access</web-resource-name>
<url-pattern>*.jsp</url-pattern>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
...
</security-constraint>
</web-app>