В Yii2 CSRF-токен обновляется каждый раз, когда генерируется новая форма или вызывается метод $this->createCsrfToken().
CSRF-токен (Cross-Site Request Forgery) является мерой безопасности, используемой для защиты от атак, в которых злоумышленник пытается отправить запрос от имени авторизованного пользователя без его ведома. При каждом запросе форма должна содержать CSRF-токен, который сервер сравнивает с токеном, хранящимся на сервере. Если эти токены не совпадают, запрос отклоняется.
В Yii2 CSRF-токен обновляется при каждой генерации новой формы, чтобы обеспечить высокую степень безопасности. Когда вы вызываете метод $this->createCsrfToken(), Yii2 генерирует новый токен и сохраняет его в сеансе. Затем токен будет включен в форму, которая будет отправлена клиенту.
При отправке формы клиент будет включать CSRF-токен в запрос и сервер проверит его на совпадение с сохраненным токеном в сеансе. Если токены совпадают, запрос считается доверенным и будет обработан сервером.
Обновление CSRF-токена при каждой генерации формы является хорошей практикой безопасности, поскольку она снижает вероятность успеха CSRF-атак. Если токены не обновляются, есть риск, что злоумышленник может перехватить токен и использовать его для отправки фальшивых запросов от имени авторизованного пользователя.