В файле yii\web\Request в функции generateCsrfToken поставьте
Yii::trace($token);
Потом в дебаггере увидите сколько раз вызывается генерация токена, по идее она должна вызываться 1 раз и потом браться из переменной. У вас скорее всего несколько раз генерирует. Затем вызовите исключение, чтобы проследить откуда происходит вызов перегенерации.
throw new \Exception('1');
Если нужно отловить 2 и более вызов, то добавьте в класс переменную, напр: $iterator, и при каждом вызове генерации итерируйте ее и потом все это дело оборачиваете в условие:
if ($this->iterator == 2) {
throw new \Exception('1');
}
Наверное как то так и я бы сделал.
