Quote Originariamente inviata da giannino1995 Visualizza il messaggio
codice:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
Non capisco perché il _csrf.token varia continuamente:
giannino, provo a risponderti io, sebbene ultimamente abbia davvero poco tempo (per ora .. mi spiace). Tutta la questione riguarda, chiaramente, la security e in modo specifico Spring Security (che è comunque tirato dentro dal artifact spring-boot-starter-security in Spring Boot).

Il CSRF funziona proprio così, è giusto che il token vari ogni volta.

https://docs.spring.io/spring-securi...-token-pattern:
[...] You will notice that we added the _csrf parameter with a random value. Now the evil website will not be able to guess the correct value for the _csrf parameter [...]

Questo impedisce ad un sito "malevolo" di fornirti un link ("valido") su cui cliccare per fare operazioni "maliziose" (in senso negativo) su un altro sito. Solo il sito originale "sa" quale è quel token e quindi può validare e consentire la richiesta.