CSRF機能が有効になっていることが原因でしたので、とりあえず無効での対応です。
cakephp3系でajax通信をしたいけど403エラーで失敗する、、
https://teratail.com/questions/158625
同じ内容であったのですが、3.6はsrc/Application.phpにあった設定が、
3.7ではrouters.phpになっていました。
routers.php
// Register scoped middleware for in scopes.
$routes->registerMiddleware('csrf', new CsrfProtectionMiddleware([
'httpOnly' => true
]));
/**
* Apply a middleware to the current route scope.
* Requires middleware to be registered via `Application::routes()` with `registerMiddleware()`
*/
$routes->applyMiddleware('csrf');
↓
routers.php
// Register scoped middleware for in scopes.
/* $routes->registerMiddleware('csrf', new CsrfProtectionMiddleware([
'httpOnly' => true
])); */
/**
* Apply a middleware to the current route scope.
* Requires middleware to be registered via `Application::routes()` with `registerMiddleware()`
*/
// $routes->applyMiddleware('csrf');