CSRF対策(セッション管理が必要)は、リクエストを受け付けたら、
個人情報が表示される、決済が完了する、核が発射される
とか重要なことを決定させるような場面で
なりすました第三者がその決定をできてしまうと困るからやるわけで、
たいして重要でもなければ、成りすまし放題の問い合わせフォームでやるのはあまり意味がない。
自サイトに対する、いたずら(攻撃)サイトを作らせないという意味合いはちょっとあるが、
攻撃者の知識次第でワンタイムトークンを適切に処理するロジック(≒BOT)が組めるわけで、
ハッカー気取りの知恵遅れ以外には効果がない。
反外国企業・サイトならともかく、。そもそもそんなことする物好きもいないだろう。