Как ограничить прямой доступа по прямой ссылке в браузере к JSP-странице в Spring?

Чтобы ограничить прямой доступ к JSP-файлам, достаточно их поместить в директорию под WEB-INF. После этого вы не можете получить прямой доступ к JSP-страние, минуя контроллер.

Вот здесь есть более подробное описание, почему директория WEB-INF защищает ваши файлы от доступа извне.

Дело в том, что WEB-INF — это защищённая директория на сервере, доступ к файлам извне невозможен. Приложение может хранить свои файлы в этой директории, чтобы быть уверенным, которые недоступны для пользователей. Это в первую очередь относится к файлам конфигурации, и другим внутренним файлам. Туда же стали ложить JSP файлы в некоторых MVC фреймворках, чтобы ограничить прямой доступ к View, минуя контроллер.

Вот здесь в Спецификации Сервлетов 6.1 по этому поводу сказано:

В иерархии приложений существует специальный каталог с именем WEB-INF. Этот каталог содержит все, что связано с приложением, но не находится в корневом каталоге документов приложения. Большая часть узла WEB-INF не является частью общедоступного дерева документов приложения. За исключением статических ресурсов и JSP, упакованных в META-INF/resources файла JAR, который находится в каталоге WEB-INF/lib, никакие другие файлы, содержащиеся в каталоге WEB-INF, не могут быть напрямую переданы клиенту контейнером. Однако содержимое каталога WEB-INF видимо коду сервлета с помощью вызовов методов getResource() и getResourceAsStream() в ServletContext и может быть раскрыто с помощью вызовов RequestDispatcher. Следовательно, если разработчику приложения требуется доступ из кода сервлета к специфической для приложения информации о конфигурации, которая не должна быть напрямую раскрыта веб-клиенту, ее можно поместить в этот каталог. Так как запросы сопоставляются с сопоставлениями ресурсов с учетом регистра, клиентские запросы, например, для /WEB-INF/foo, /WEb-iNf/foo не должны приводить к возврату содержимого веб-приложения, расположенного в /WEB-INF, или какой-либо формы его листинга в каталоге.