実際にはajaxでフォーム内のデータをやりとりするしょりで、
HTMLの実装を以下のように記述していました。
(AMPで怒られるのでformをf0rmと表記しています)
<f0rm id="form_xxx" role="form" th:object="${authData}" action="#" method="post">
<!-- フォームの内容 -->
</form>本来ならこのフォームにSpring Securityのhidden input(id=”_csrf”)がつくはずなのですが、付かない。
色々検証したところ、thymeleaf使用時には以下のようにthymeleafのactionを設定してあげなければいけませんでした。
<f0rm id="form_xxx" role="form" th:action="@{#}" th:object="${authData}" action="#" method="post">
<!-- フォームの内容 -->
</form>そんだけ。