通过在form表单中添加
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
当加载登陆页面时,后台会生成一串随机密文发送发送给前台,
当form表单提交时,此密文会进入后台验证,验证通过才会登陆成功
打个比喻:某网站伪造为银行网站,套取了用户的个人信息后篡改金额,套现
但是这个过程的最后,用户信息还是需要提交给真正的银行网站进行验证,钓鱼网站的csrf就不能与银行网站的csrf进行匹配
则无法提交
从钓鱼网站的页面提交的请求无法携带正确、被承认的令牌。
也可以通过修改配置信息来关闭csrf