<!-- <csrf disabled="true"/>关闭csrf保护,spring建议所有request都应该使用csrf保护,默认是开启的 --> <!-- <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> --> <!-- csrf无法对ajax请求自动提交_csrf参数,通常在http header中提交标记。 <head> <meta name="_csrf" content="${_csrf.token}"/> <meta name="_csrf_header" content="${_csrf.headerName}"/> </head> jquery的提交代码: $(function () { var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); }); --> <!-- csrf对文件上传multipart的设置: <form action="servlet/fileUpload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data"> -->