Когда нужно вставить в форму csrf-token в примерах везде пишут:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

И все хорошо, если задать другой parameterName, то не нужно переделывать все JSP. Но если посмотреть исходник CsrfFilter.java, то видно, что атрибут добавляется так:

request.setAttribute(csrfToken.getParameterName(), csrfToken);

Т.е. если поменять parameterName, то все JSP все равно придется изменять. Тогда может проще не заморачиваться, и писать без лишнего мусора?

<input type="hidden" name="_csrf" value="${_csrf.token}"/>

Или я что-то не понимаю?