А что это по Вашему должно дать? Если виджет (js который в нем) не предусматривает логику взять сsrf токен из meta тегов и добавить к post запросу, как параметр, то это ничего не даст.
Так что первое что надо проверить, это запрос который улетает. Есть ли в нем сsrf. Вероятно нет. Тогда или допиливать js плагина (возможно на уровне виджета в php можно это решить) или отключать защиту.
Проверьте не было ли редиректа до этого. Не кешируется ли лишнего. Посмотрите есть ли в самом post токен.
Проверьте конфиг, а именно что в
'components' => [
'request' => [
Так же могут влиять поведения, родительский контролер. Можете залезть в Yii::$app->getRequest()->validateCsrfToken() и там проверит что в реальности проверяется и с чем.
Большинство современных фреймворков имеют это из коробки. Если проект на стадии разработки - я бы его делал на базе фреймворка, например yii2 и не изобретал велосипед заново. Там есть и CSRF валидация и валидация форм и есть возможность использовать REST
