调试易

通过设置过滤器，放在webroot下面的文件也可以实现不能直接访问。所以说放在哪里就看习惯是什么样了。一般项目都是要求隐藏性的，只让客户通过请求访问而不是直接访问jsp页面。若放在webroot下面，肯定要加一个过滤器阻止所有对*.jsp的访问。只要比较的话：
放在webroot下面:优点，程序结构清晰，便于编码和维护；缺点，要加过滤器。
放在web-inf下面：优点，不用过滤器；缺点，打乱了程序结构，编码和维护麻烦点。其实二者没啥大区别，个人倾向于放在webroot下面

如果把这些JSP页面文件移到WEB-INF 目录下，在调用页面的时候就必须把"WEB-INF"添加到URL中。    我们知道，实现页面的跳转有两种方式，一种是通过redirect的方式，一种是通过forward的方式。redirect方式的跳转，系统会在一个新的页面打开要跳转的网页；而forward方式跳转，系统会在原来的页面上打开一个要跳转的网页。所以放到WEB-INF目录下的文件是不允许采用redirect方式的跳转来访问的，如下例1：/test/test1.jsp文件 <html><body>    <form name="testform" action="/WEB-INF/jsp/test/test.jsp">      <input type = "submit" value="test">    </form></body></html>    上面这段语句只有一个名为test的按钮，如果单击这个按钮是，系统就会跳转到/WEB-INF/jsp/test/test.jsp，它的代码如下：例2：/WEB-INF/jsp/test/test.jsp文件<html><body>跳转成功!</body></html>事实上，这个跳转是无法成功的，点击按钮后，IE会报“403 Forbidden”的错误。而forward方式的跳转则可以成功，如下代码：例3：/test/test2.jsp文件<html><body><form name="testform"><jsp:forward page = "/WEB-INF/jsp/test/test.jsp" /> </form></body></html>    请注意上面红色的语句，这段就是通过forward的形式来访问/WEB-INF/jsp/test/test.jsp文件，在IE输入地址http://localhost/test1/test2.jsp，网页上就显示“跳转成功！”的信息了，这表示放到了WEB-INF可以通过forward的方式来访问。    个人认为，像这种方式的可能不大时候采用一般jsp进行编程的系统，因为很多页面上都有采用submit这样的方式来进行跳转，但这种方式却非常适合采用struts结构的系统。因为采用这个结果大多是先跳转到一个Action类，然后在Action类进行相关处理后（比如说获取相关的信息保存到session中，进行有效性的判断），然后再forward到另外一个页面，这样放到WEB-INF中的jsp代码可以被正常访问，也防止了对这些页面的直接访问，下面我来举例说明。    下面我们先对配置文件struts-config.xml进行配置，如下：例4：WEB-INF/struts-config.xml文件 <?xml version="1.0" encoding="ISO-8859-1" ?><!DOCTYPE struts-config PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 1.1//EN" "http://jakarta.apache.org/struts/dtds/struts-config_1_1.dtd"><struts-config><!-- ========== Action Mapping Definitions ============================== --><action-mappings><action path="/test" type=" test.TestAction" scope="request">    <forward name="test" path="/WEB-INF/jsp/test/test.jsp"/>     </action> </action-mappings></struts-config>    上面这个配置非常简单，这里定义了一个action类，它的路径为/test，所对应的类为test.TestAction.java，它都一个跳转页面，别名为test，对应的页面为/WEB-INF/jsp/test/test.jsp。    下面我们对例1的内容进行修改，使其跳转到/test去。例5：修改后的/test/test1.jsp文件 <html><body>    <form name="testform" action="/test">      <input type = "submit" value="test">    </form></body></html>    这样我们在IE中访问http://localhost/test/test1.jsp，然后点击test按钮，页面就会跳转到test.TestAction.java这个类来，下面是这个类的内容。package test;import javax.servlet.http.*;import org.apache.struts.action.ActionMapping;import org.apache.struts.action.Action;import org.apache.struts.action.ActionForm;import org.apache.struts.action.ActionForward;public class TestAction extends Action{public ActionForward perform(ActionMapping mapping,                                 ActionForm form, HttpServletRequest req,                                 HttpServletResponse res)    {      return mapping.findForward("test");    }}    可以看到，这个类是继承Action类的，所有的控制类都必须继承Action类，这个类里面有一个perform方法，跳转到这个类都是从这个方法进行访问的（新版本可以是execute方法），现在这个方法里面只有一条语句，这句话的意思就是跳转到一个别名为test的页面，也就是/WEB-INF/jsp/test/test.jsp页面，这样我们点击test按钮后，IE就会显示“跳转成功！”这条信息，这表示系统允许这样的跳转。注意：CSS文件要存放在根目录，此时引用要用绝对路径！！！引用格式如：/项目名/css文件夹/*.css标准的MVC模型建议把JSP放在WEB-INF下！

web-inf下安全些  自己配置访问方式
Springside3好象是全部放在web-inf下面的

我听一个群里人说 没必要放在web-inf目录里面  但又不知道为不用放  难道放到web-inf里面比放在webroot下面效率要低小  执行速度要慢些？？？

放web-inf干嘛，web-inf一般都是用来放不允许用户访问到的东西吧，JSP本来就是用于访问的，感觉像是一个private的interface一样...，又是让人调又隐藏...

问题是jsp里面内容都是要通过请求才能获取的  那如果放在webroot下 直接访问的话 页面就空空如也了 或者直接报错 

安全   web-inf方便    webroot

二楼说的做法我作个比喻,放web-inf下为方法甲,放webroot下为方法乙.
就像一条河,本来有一个独木桥,人容易掉下去.
于是甲不走独木桥(不使用webroot访问jsp),只是在边上造一座安全的桥通行(用服务端转发方式访问jsp).
乙说有桥为什么不走,造桥多破坏环境呀,他要走独木桥,可是他的做法是先将独木桥踹飞("加一个过滤器阻止所有对*.jsp的访问"),再在原地造一座安全的桥通行(阻止了所有对*.jsp的访问,必然还需要一个服务端转发方式来访问jsp页面)
既然都不走独木桥为什么要那么麻烦还去理独木桥?直接另造座桥就好了.桥造在原地和造在边上有什么区别.更何况,两者在转发时的区别只不过是转发url中甲比乙多了一个文件夹.入口还不是一样.
放在webroot下又麻烦(要针对用户直接访问作一些预防动作)又不安全(一些敏感页面),放在web-inf下也不见得打乱了项目文件结构,怕和classes lib弄混,可以在web-inf下创个名为jsp的文件夹专放jsp文件.
直接用模板框架如freeer,省了这些个麻烦~``
扯得蛋疼~```

一、加个过滤器并不麻烦，而且加上后就可以永远不用再管了。
二、放在WEB-INF下面，首先从理解上就很别扭，然后WEB-INF下面通常有很多文件，开发过程中从里面寻找一个文件或文件夹是很不方便的。

如果是用struts之类的放在web-inf比较安全