Это не вопрос метода запроса (GET и POST могут одновременно вносить изменения в постоянное состояние), поскольку каждый из них может использоваться различными векторами атаки CSRF.Когда вы говорите о «ключе сеанса», я предполагаю, что вы говорите о шаблоне токена синхронизатора (подробнее об этом в OWASP Top 10 для разработчиков .NET, часть 5: Подделка межсайтовых запросов (CSRF) ).Очевидно, что это предназначено для защиты от того, что браузер делает несанкционированные запросы от вашего имени под управлением третьей стороны.
Таким образом, вопрос на самом деле "Требует ли мое приложение защиты от CSRF?"Похоже, что в вашем приложении нет никаких изменений в постоянных данных, так что, на первый взгляд, ответ «нет».Как правило, токены подделки антизапроса можно найти только в тех местах, где атака CSRF может оказать неблагоприятное воздействие, поэтому мне кажется, что вам не о чем беспокоиться.