No es buena idea que se accedan directamente a los JSP. Debería hacerse a través de un Action, o un forward:
<html:link action="/algunAction">...</html:link>
Y para asegurarnos de que no lo va hacer, es mejor protegerlo desde la configuración de la aplicación web:
<web-app><br />...<br /><security-constraint><br /><web-resource-collection><br /> <web-resource-name>no_access</web-resource-name><br /> <url-pattern>*.jsp</url-pattern><br /></web-resource-collection><br /><auth-constraint><br /></auth-constraint><br />...<br /></security-constraint><br /></web-app>