به طور پیش فرض اکستنشن Flask-WTF فرم های ساخته شده در یک وب اپلیکیشن فلاسکی را در مقابل حملات CSRF محافظت می کند. به طور خلاصه یک حمله CSRF زمانی رخ می دهد که یک وب سایت خرابکار درخواست هایی را به وب سایتی دیگر ارسال می کند که قربانی در آن ورود کرده است.
به منظور اینکه Flask-WTF بتواند از شما در مقابل اینگونه حملات محافظت کند نیاز است تا شما یک کلید رمزگذاری را در فایل تنظیمات مربوط به وب اپلیکیشن خود تعبیه کنید. از این کلید به منظور ایجاد یک توکن رمزگذاری شده استفاده می شود که با استفاده از این توکن اطلاعات مربوط به فرم ها اعتبار سنجی می شود. مثال زیر نشان می دهد تا چگونه این کلید را ایجاد کنید :
دیکشنری app.config به منظور ذخیره کردن تنظیمات و متغییرهای مربوط به آن استفاده می شود که از این تنظیمات فریمورک، اکستنشن ها و خود اپلیکیشن استفاده می شود. همچنین این امکان وجود دارد تا اطلاعات مربوط به تنظیمات را از دیگر فایل ها به پروژه ی خود وارد کنید. همانطور که ذکر شد متغییر مربوط به SECRET_KEY یک کلید رمزگذاری عمومی برای وب اپلیکیشن است که مورد استفاده ی فراوانی قرار می گیرد. همانطور که نام این متغییر پیداست باید سعی کنید تا جایی که ممکن است این کلید سخت و غیر قابل حدس باشد.
