Jesus Rodriguez
PreguntaTuve problemas con el Csrf. Me hubiese gustado que explicaras una manera de como manejarlo correctamente. A la final encontre como hacerlo funcionar pero deshabilitando el csrf para algunas rutas lo cual obviamente no es buena practica. Si alguien mas tiene este problema vayan aca https://stackoverflow.com/questions/44872603/play-framework-csrf-error-csrf-check-failed-because-no-token-found-in-headers repito, no es la mejor solucion pero para que puedan continuar probando con postman, sirve.
C. Daniel Sanchez R.
Cuando hablamos de "buenas prácticas", yo prefiero siempre tomarlo con pinzas, o dicho de otra manera, no asumir que eso es lo que hay que hacer por default, si no entender primero por qué una cosa es tratada como buena práctica y en qué casos tiene sentido.
Para el caso del tipo de ataque CSRF, su manera de ejecutarse es sobre páginas web alteradas que envían información a un tercero de forma, el servidor entonces puede saber si una petición viene realmente del usuario por medio de una especie de token/cookie de verificación extra. Si un token no es valido, se descarta responder esa solicitud pues es posiblemente un ataque de esa naturaleza. Ahora bien, para el caso del proyecto, sería probablemente seguro deshabilitar esa funcionalidad, ya que el modo principal es simplemente como un API REST, no como un servidor de páginas web.
Sin embargo, eso no nos exime de tener algún tipo de verificación de por ejemplo un usuario logueado para prevenir peticiones mal intencionadas para robar datos o así.
Por supuesto, en el frontend hay que integrar alguna capa de seguridad que evite ese y otro tipo de ataques, aunque en general, la OWASP dice que teniendo bien configurado el CORS puede prevenir un ataque CSRF -> https://owasp.org/www-community/attacks/csrf
