input中

 type=hidden  name=_csrf   value=<%=_csrf%>  

相当于在

form 中的action 拼接  action=’/add?_csrf=<%=_csrf%>'