Так, я думаю, что всё равно всё сломает var_dump, который пишет в stdout и в этот момент посылается header, который затем вызывает проблемы у рендерера, пытающегося отправить header ещё раз. Кроме того, input содержит тело POST-запроса, а запрос верификации это GET, так что это действие имеет мало смысла.
Для исследования лучше явно записывать содержание $_GET в какой-нить файл. Заодно определить, не возвращается ли 400 ещё до начала указанного кода. Может, там действительно CSRF проверяется (не знаю что за фреймворк и какие у него особенности). Я подобный обработчик писал для django, там есть специальный декоратор @csrf_exempt как раз для исключения проверки CSRF-токена.
