使用无状态(=无会话)身份验证时,CSRF令牌是否必要？

当应用程序依赖无状态身份验证(使用HMAC之类的东西)时,是否有必要使用CSRF保护？

例:

我们有一个单页应用程序(否则我们必须在每个链接上附加令牌:....

用户使用身份验证自己POST /auth.成功验证后,服务器将返回一些令牌.

令牌将通过JavaScript存储在单页面应用程序内的某个变量中.

此令牌将用于访问受限制的URL,例如/admin.

令牌将始终在HTTP标头内传输.

没有Http Session,也没有Cookies.

据我所知,应该(？!)不可能使用跨站点攻击,因为浏览器不会存储令牌,因此它无法自动将其发送到服务器(这就是使用Cookies时会发生的情况/会议).

我错过了什么吗？