Spring Security 3.2 Suporte CSRF para solicitações de várias partes

Estamos usando o Spring Security com nosso aplicativo há alguns anos. Na semana passada, atualizamos o Spring Security da versão 3.1.4 para 3.2.0. A atualização foi boa e não encontramos nenhum erro após a atualização.

Ao examinar a documentação do Spring Security 3.2.0, deparamos com os recursos recém-adicionados em torno dos cabeçalhos de proteção e segurança CSRF. Seguimos as instruções na documentação do Spring Security 3.2.0 para habilitar a proteção CSRF para nossos recursos protegidos. Ele funciona bem para formulários regulares, mas não funciona para formulários com várias partes em nosso aplicativo. No envio do formulário,CsrfFilter gera um erro de acesso negado, citando a ausência de um token CSRF na solicitação (determinado por meio de logs DEBUG). Tentamos usar a primeira opção sugerida noDocumentação sobre Spring Security para fazer a proteção CSRF funcionar com formulários de várias partes. Não queremos usar a segunda opção sugerida, pois vaza tokens de CSRF através dos URLs e representa um risco à segurança.

A parte relevante de nossa configuração, com base na documentação, está disponível comoEssência no Github. Estamos usando o Spring versão 4.0.0.

Observe que já tentamos as seguintes variações sem êxito:

Não declarando oMultipartFilter noweb.xml.Não configurando o nome do bean resolvedor para oMultipartFilter noweb.xml.Usando o nome do bean resolvedor padrãofilterMultipartResolver nowebContext.xml.

ATUALIZAR: Confirmei que o comportamento documentado não funciona mesmo com um aplicativo de exemplo de página única. Alguém pode confirmar que o comportamento documentado funciona conforme o esperado? Existe um exemplo de aplicativo de trabalho que pode ser usado?