Многие веб-фреймворки имеют стандартную настройку для создания форм с помощью токенов auth.
Должен ли я создавать такие меры вручную или проигрывать со сборкой в средствах превентивного CSRF?
Документация на Play website, похоже, не затрагивает этого.