Ну так вроде логично, да) с ajax конечно не прокатит. Там токен не делают одноразовым

Это не совсем от xss

Точнее, не только от xss

To help mitigate cross-site scripting (XSS) attacks, HttpOnly cookies are inaccessible to JavaScript's Document.cookie API; they are only sent to the server.

А для чего еще?

От подделки запросов

Csrf имеете ввиду? Так в случае с ajax запросами может помочь httpOnly или нет?

Может, я нашел два способа, через сабмит хиден полем передавать, предварительно достав из куки и просто гонять через хедеры, это работает только через http only=false(на сколько я понял).  Возможно есть какие-то ещё способы, но мне о них неизвестно.

Но достаете то вы из куки джаваскриптом. А до этой куки он не доберется если она httpOnly

Все верно, в этом то и загвоздка.

Если ставить httpOnly то все запросы будут 403

Зачем прописывать все методы в Repository если можно оставить ее пустой и  просто прописать все необходимые методы  в Service?? Пытался найти ответ, но увы есть только объяснение паттернов.

Доброе утро. Сталкнулся со следущей ситуацией. Сохраняю картинку в приложении, она сохраняется в resources/static/images. С помощью thymeleaf вывожу картинку на странице (  @{'image/' + ${image}} )  Но картинка отображается только после перезагрузки приложения. Можете подсказать в какую сторону читать, что бы исправить это? Возможно нужно в другое место сохранять, не в static, но тогда немного не понимаю как в такм случае указывать полный адрес.

SELECT *
FROM ErrorsList
ORDER BY CASE level
         WHEN 'Полный пиздец'         THEN 1
         WHEN 'Жопа' THEN 2
         ELSE                   3
         END;

Зачем использовать JPQL, HQL и прочие обёртки над SQL?

Зачем использовать java, C++ и прочие обёртки над машинными командами?

Ожидаемо

это абстракции более высокого уровня (со всеми вытекающими)

Не холивара ради.

Ну так, каков посыл таков отсыл. У меня тут тысячи вариаций запросов.

Интерпрайз проект, а не домашняя поделка.