Вся документация Spring, которую я видел, говорит о том, как использовать токены CSRF с Thymeleaf или JSP.У меня есть простые HTML-файлы и файлы JavaScript, а также Java-сервер.
Во-первых, как мне получить токен CSRF от Spring в мой код Java?
Это необходимо вернуть в веб-приложение при входе в систему, верно?Иначе, если это делается GET, не относящимся к CSRF, тогда это может сделать любой.
Страница: https://docs.spring.io/spring-security/site/docs/current/reference/html/web-app-security.html#csrf-protection-and-json
Говорит, чтобы использовать для запросов AJAX:
<meta name="_csrf" content="${_csrf.token}"/>
<!-- default header name is X-CSRF-TOKEN -->
<meta name="_csrf_header" content="${_csrf.headerName}"/>
Но как мне установить объект _csrf, если я не использую JSP (или Thymeleaf)?