Spring MVC + Spring Security + thymeleafでフォームに自動で_csrfが付かない

実際にはajaxでフォーム内のデータをやりとりするしょりで、
HTMLの実装を以下のように記述していました。
(AMPで怒られるのでformをf0rmと表記しています)

本来ならこのフォームにSpring Securityのhidden input(id=”_csrf”)がつくはずなのですが、付かない。

色々検証したところ、thymeleaf使用時には以下のようにthymeleafのactionを設定してあげなければいけませんでした。

そんだけ。