在上一篇博文《Springboot 1.5.1整合Spring security 4》中，我们碰到“Could not verify the provided CSRF token because your session was not found. ”错误， 经过分析，是因为我们成功登录后，spring security为了防止CSRF攻击，需要在每个页面中验证成功登录后创建的csrf token值，而我们在静态页面中又无法传递这个token, 今天我们将来说明下如何处理这个问题。
还是基于上篇博文的代码，由于我们在页面上需要动态获取csrf token, 这时我们可以在页面上引入JS 代码，使之成为动态网页。
1) 将http.csrf().disable();注释掉

@Override
    protected void configure(HttpSecurity http) throws Exception {
        //http.csrf().disable();
        http.authorizeRequests()
                        .antMatchers("/", "/springbootbase").permitAll()
                        .anyRequest().authenticated()
                        .and()
                    .formLogin()
                        .loginPage("/login")
                        .failureUrl("/login?error")
                        .permitAll() //5
                        .and()
                    .logout().permitAll();
    }

2) 将index.html 改成JSP 文件： index.jsp
将csrf token 作为表单的隐藏域一起提交即可解决

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
    <title>Hello World!</title>
</head>
<body>
    <h1 th:inline="text">Hello World</h1>
    <form th:action="@{/logout}" action="./logout" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
        <input type="submit" value="Sign Out"/>
    </form>
</body>
</html>

3) 重启tomcat server, 运行结果与上一篇博文一致。