既知の問題として放置していたのが、/WEB-INFの下のファイルも丸見えになる問題。web.xmlも読めれば、/WEB-INF/libの下のJarもダウンロードできちゃう。そりゃまずいですよね。ということで、ページは以下の順で探すこととしました。

1. コンテキストルート相対。間に「/WEB-INF/」を挟むとNG。
2. /WEB-INF/page 相対。フォルダは設定可能。
3. コンテキストクラスローダまかせ。
4. コンテキストクラスローダまかせで、/META-INF相対。

2個目で、単純な/WEB-INF相対をやめました。ここに設定として「/WEB-INF」とすれば今と挙動は一緒です（が、おススメしません）。
追記
3番目の、クラスローダーのルートから調べるのは使わないだろうと考え、やめました。