tomcat 如何禁止下载 jsp 源码

tomcat 服务器 webapps 目录下有 xx.jsp 文件 通过访问 http://127.0.0.1:8080/xx.jsp/ (注意最后一个斜杠) 浏览器会弹出下载，保存文件后发现下载回来的是 jsp 源文件，即未编译版本，能看到 java 代码的。

curl 'http://127.0.0.1:8080/xx.jsp/' 情况也一致 排除缓存

尝试过增加 filter 拦截，但是发现这个是 defaultServlet 行为，这属于最外层，代码无法干预

涉及 jsp 页面有点多，全部挪到 web-inf 工作量有点大，现在护网也不能这样操作

目前唯一的思路是加 ng ，在 ng 层面重写 url

不知道大家有没有别的思路

其实源码也没啥敏感信息，但是他扫出来就非要整改