这个简单，其实如果你的应用不是针对全世界广大群众的，那么就不用那么限制Origin。

header('Access-Control-Allow-Origin:*');

PHP这边只要把客户端需要的关键几个header准备好就行，无论是不是发送options请求都
把这些header发送给客户端浏览器也无所谓，你可以把发送header的部分写到构造函数里。

接下来就要判断是不是OPTIONS的请求，如果是，那就一个exit()搞定。你说呢？

if (Yii::$app->getRequest()->getMethod() === 'OPTIONS') {
  exit;
}

上面这个，你不想执行action的话，那可以写到beforeAction里，你觉得呢？
这样在options这一请求，浏览器永远会收到可以放行的信号；那么你只要做好token验证就行了。
你觉得咋样？