Можно ли защититься от csrf атак без cookies?

Да, можно - если вообще не использовать куки.

Для этого понадобится строго разделить приложение на статическую часть (SPA) и веб-API, и передавать токен/идентификатор сессии/что ещё нужно в каждом запросе к API самостоятельно.