Springにおけるクロスサイトリクエストフォージェリ(CSRF)対策についてです。
Springでも他と同じようにトークンを使用して、判断をしている。
基本的にSpring Securityを使用している場合、デフォルトでCSRF対策がONになるため、formタグでth:action属性を使用していれば、タイムリーフが自動でトークンを追加し意識的にクロスサイトリクエストフォージェリ(CSRF)対策を行う必要がない。
もし意図的にトークンを渡したいのであれば、下記のようにhidden属性にトークンをセットすればOK。
デフォルトでは、トークンは _csrf という名前でリクエストスコープに保存されている。
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />