开启此功能:
在生成 tornado.web.Application 对象时,加上 xsrf_cookies=True 参数
并在非 GET 请求的表单里加上 xsrf_form_html()
如:
<form action="/new_message" method="post">
<input type="text" name="message"/>
<input type="submit" value="Post"/>
{% module xsrf_form_html() %}
</form>