Liferay (ver.6.1.1) ポータル プロジェクトに CSRF トークン (p_auth) を追加する必要があります。Liferay は、この機能をすぐに使用できるようにします。auth.token.check.enabled=true
ただし、これは @ActionMapping アノテーション[source]でマークされたリクエストに対してのみ行われます。その際、フォーム送信の ajax リクエストが多いため、@ResourceMapping の CSRF 保護が必要です。
アドバイスありがとう。