Когда нужно вставить в форму csrf-token в примерах везде пишут:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
И все хорошо, если задать другой parameterName, то не нужно переделывать все JSP. Но если посмотреть исходник CsrfFilter.java, то видно, что атрибут добавляется так:
request.setAttribute(csrfToken.getParameterName(), csrfToken);
Т.е. если поменять parameterName, то все JSP все равно придется изменять. Тогда может проще не заморачиваться, и писать без лишнего мусора?
<input type="hidden" name="_csrf" value="${_csrf.token}"/>
Или я что-то не понимаю?