Yii2 Bad Request 400 - невозможно войти в систему из iframe в другом домене

Вот ответ на мой вопрос, я решил проблему

• Измените версию PHP на> 7.3
• Перейдите в config/web.php для базового приложения или config/main.php
• Добавьте это: 'httpOnly' => true, 'secure' => true, 'samesite' => 'None' в параметр _csrf для блока запроса и файл cookie _identity в пользовательском блоке.

Используя это, вы сможете войти в домены domain1.com и domain2.com, используя один и тот же сеанс на обоих доменах, если сайт находится в iframe в domain1.com.

Для версии PHP ‹ 7.3 обновите конфигурационный файл main.php и установите для параметра sameSite значение None в пути переменной as
- cookie

    identityCookie' => [
           'name' => 'your_cookie_name',
           'httpOnly' => true
           'path' => '/;SameSite=None',
           'secure' => true
       ]
    
- session-cookie  

    'cookieParams' => [
      'lifetime' => time()*60,
      'httpOnly' => true,
      'secure'=>true,
      'path' => '/;SameSite=None'
    ]
    

Примечание:

1. Вам может понадобиться отредактировать файл: yii\web\Cookie, изменив значение $path с '/' на '/;SameSite=None'.
2. PHP 7.3 и YII 2.0.21 поставляются с решением SameSite с тремя значениями Lax, Strict и None. Нажмите здесь, чтобы узнать больше.