Ертай Куанышов

Вот так правильнее

<input type="hidden" name="<?= Yii::$app->request->csrfParam; ?>" value="<?= Yii::$app->request->csrfToken; ?>" />

можно в заголовке с именем X-CSRF-Token передать если AJAX
или в контроллере отключите проверку (не рекомендуется делать)

public function beforeAction($action)
{            
    if ($action->id == 'no-csrf') {
        Yii::$app->controller->enableCsrfValidation = false;
    }

    return parent::beforeAction($action);
}