springsecurity中没有设置关闭csrf 防护，表单中隐藏域也没写，为什么依旧可以访问

springboot项目，配置类中自定义了登录页面和登录逻辑。默认开启防护
springsecurity中没有设置关闭csrf 防护，表单中隐藏域也没写，为什么依旧可以访问

已解决！！
原因是：我的login.html提交表单时用了thymeleaf模板中的 th:action ,thymeleaf会在表单提交时自动生成_csrf隐藏域，就不用再自己写隐藏域了