При отладке механизм защиты сайта csrt_token очень затрудняет жизнь, для его отключения, а лучше всего для управления этим механизмом нужно в config.py внести переменную
CSRF_ENABLED = True
Затем в __init__.py главного модуля добавить такие строки
if app.config['CSRF_ENABLED']:
from flask_wtf.csrf import CsrfProtect
CsrfProtect().init_app(app)
Затем при использовании форм передавать им дополнительный параметр
form = CreateProduct(csrf_enabled=app.config['CSRF_ENABLED'])
Ну и на последок, в шаблонах, использовать вот такую конструкцию
{% if csrf_token %}{{ csrf_token() }}{% endif %}
таким образом изменяя состояние CSRF_ENABLED в конфиге вы будете контолировать этот параметр по всему проекту