Если вы не используете куки / базовую аутентификацию, это не обязательно.Ссылаясь на этот ответ на бирже стеков безопасности: https://security.stackexchange.com/a/166798/128394.
Причина, по которой CSRF существует, заключается в том, что браузеры автоматически включают файлы cookie для домена в запросы из других источников.В настоящее время вы можете фактически контролировать это с помощью свойства SameSite для файлов cookie.
Так как токены на предъявителя отправляются в виде заголовков авторизации и хранятся, например, в локальном хранилище, они никогда не будут отправляться автоматически браузером + другие сайты не имеют доступав локальное хранилище вашего сайта (по крайней мере, они не должны, это будет серьезной ошибкой безопасности в браузерах).И поэтому никакой CSRF не может произойти.