官方文档建议你引入spring security,然后用一行简单的xml配置就可以搞定csrf防范。
但是引入spring security意味着你必须使用它的一套authentication & authorization机制,而且这玩意儿也不轻量。
网上搜了下,下面这个方案简单又可靠,你抄一些它的代码即可:
http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html
=======
以上只对普通form提交方式有效
对于ajax方式,可以在页面任何一处写一个<form:form/>,就可以在页面源码中生成这样一个token; ajax在提交时,把这个token作为post的内容提交就可以了