В Yii фреймворке реализована автоматическая защита POST запросов от CSRF атак, но если вдруг требуется использовать GET запросы, то этот механизм не работает. Для GET запросов метод validateCsrfToken компонента yii\web\Request всегда возвращает true.