Я нашел одну идею здесь, размещение файлов в /WEB-INF — это способ заблокировать прямой доступ:
С помощью Facelets можно также помещать XHTML-файлы в /WEB- ИНФ, если они являются шаблонами или включаемыми файлами (те же ограничения, что и для JSP по сути).
На странице также представлено решение, основанное на безопасности Java EE, которое разрешает прямой доступ XHTML только членам определенной группы пользователей.
Restrict XHTML Documents
XHTML
*.xhtml
Only let 'developer's access XHTML pages
developer
Вы бы порекомендовали одно из этих решений или обычно используются оба?