Ist nach der Konfiguration von Spring Security 3.2 _csrf.tokennicht an eine Anforderung oder ein Sitzungsobjekt gebunden. Dies ist die Federsicherheitskonfiguration: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...