由于您的会话在Spring Security中未找到，因此无法验证提供的CSRF令牌。

根据 spring.io 的说法：

何时需要使用 CSRF 保护呢？我们的建议是：对于任何可能被普通用户通过浏览器处理的请求，都应该使用 CSRF 保护。如果您只创建了一个供非浏览器客户端使用的服务，则很可能希望禁用 CSRF 保护。

因此，要禁用它：

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

注意：Java Configuration默认启用了CSRF保护。

试试这个：@Override protected boolean sameOriginDisabled() { return true;}

@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {

    ...

    // Determines if a CSRF token is required for connecting. This protects against remote
    // sites from connecting to the application and being able to read/write data over the
    // connection. The default is false (the token is required).
    @Override
    protected boolean sameOriginDisabled() {
        return true;
    }
}

来源：WebSocket安全性：在WebSockets中禁用CSRF

本文介绍如何通过使用Spring Security来保护您的WebSocket应用程序免受跨站请求伪造（CSRF）攻击。我们将探讨如何在WebSockets中启用和禁用CSRF保护，并提供示例代码来演示如何实现它们。

禁用CSRF保护是一个不好的想法。

每个请求后，Spring会自动生成一个新的CSRF令牌，并且您需要在所有具有副作用的HTTP请求中包含它 (PUT, POST, PATCH, DELETE)。

在Postman中，您可以在每个请求中使用测试将CSRF令牌存储为全局变量，例如在使用CookieCsrfTokenRepository时。

pm.globals.set("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);

然后将其作为标题包含在键X-XSRF-TOKEN和值{{xsrf-token}}中。

使用POST方法时遇到了同样的错误，收到了403 Forbidden "Could not verify the provided CSRF token because your session was not found."

经过一番探索，发现通过在配置中添加@EnableResourceServer注释可以解决问题。

配置如下（spring-boot.version -> 1.4.1.RELEASE，spring-security.version -> 4.1.3.RELEASE，spring.version -> 4.3.4.RELEASE）

@Configuration
@EnableWebSecurity
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends ResourceServerConfigurerAdapter {

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  auth.userDetailsService(inMemoryUserDetailsManager()).passwordEncoder(passwordEncoder());
}

@Override
public void configure(HttpSecurity http) throws Exception {
    http.httpBasic();
    http.sessionManagement().sessionCreationPolicy(STATELESS);
    http.csrf().disable();
    http.authorizeRequests().anyRequest()
            .permitAll();
}

private InMemoryUserDetailsManager inMemoryUserDetailsManager() throws IOException {
    // load custom properties
    Properties properties = new Properties();
    return new InMemoryUserDetailsManager(properties);
}

private PasswordEncoder passwordEncoder() {
    return new TextEncryptorBasedPasswordEncoder(textEncryptor());
}

private TextEncryptor textEncryptor() {
    return new OpenSslCompatibleTextEncryptor();
}

}

当我使用JS的fetch AJAX调用而不使用credentials: "same-origin"选项时，我会收到这个错误消息（HTTP状态403 - 无法验证提供的CSRF令牌，因为未找到您的会话。）。 错误的方式

fetch(url)
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })

正确的方式

fetch(url, {
    credentials: "same-origin"
})
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })

这是一个老问题，但这可能对某些人有所帮助。我遇到了类似的问题，以下是我解决它的方法。
为了使CSRF与REST API配合工作，您需要在每次调用之前通过API获取一个CSRF令牌，并使用该令牌。令牌每次都不同，不能重复使用。
以下是获取CSRF令牌的控制器代码：

@RequestMapping(value = "/csrf", method = RequestMethod.GET)
    public ResponseEntity<CSRFDTO> getCsrfToken(HttpServletRequest request) {
        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        return ResponseEntity.ok(CSRFDTO.builder()
                .headerName(csrf.getHeaderName())
                .token(csrf.getToken())
                .build());
    }

此外，您可能考虑配置Spring应用程序以禁用REST API端点的CSRF。引用我在某个地方读到的一篇文章：
“我非常确定，在REST端点上使用CSRF令牌不会提供任何额外的保护。因此，在REST端点上启用CSRF保护只会向您的应用程序引入一些无用的代码，我认为应该跳过。”
希望这可以帮助您。

我通过在登录页面中添加最后一个属性来解决了它，也许对你有帮助。

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"  isELIgnored="false"%>