Нет, не нужна, но надо помнить, что samesite=laх не защищает от поддельных GET запросов.
Хотя конечно в первую очередь GET запросы не должны использоваться для изменения состояния сервера
Хотя вот коллеги поправляют, что ещё зависит от браузера, поддерживает ли он этот стандарт.