martrix

В общем сам же и отвечаю :)
js делает 2 запроса, вначале OPTIONS а уже потом POST
поэтому вначале мы отдаем запрос с заголовками, где указано какие заголовки мы примем и какой метод ожидаем, а обрабатываем уже собственно POST запрос
то есть примерительно к Yii делаем так

if (\Yii::$app->request->isOptions){
            header("Access-Control-Allow-Origin: *");
            header('Access-Control-Allow-Method:POST');
            header('Access-Control-Allow-Headers:authorization,content-type,test');
            die();
        }