Mecburi değil, istersen header ile gönderebilirsin. Ben de token ve key gibi şeyleri URL ile gönderme taraftarı değilim çünkü çirkin bir görüntü oluşuyor. Güvenlik kısmına bakacak olursak, URL'i okumak kolay ama header için uğraşmaları lazım.

Güvenlik için oranlar verelim (sallıyorum)

URL üzerinden key gönderirsen %50
header üzerinden gönderirsen %60

URL üzerinden token gönderirsen %80
header üzerinden gönderirsen %90

şeklinde güvenli olur dersek ve önceki gönderide neden key token kullanırız konusunu da düşünürsen aşağı yukarı stratejin belli olur.

Şuradaki tartışmayı okursan client tarafının o kadar da masum olmadığı, güvenliğin %100 mümkün olmadığını göreceksin. (Eğer JS çalışıyorsan CORS konusuna ve OWASP'nin 10 maddesine bakıver.)

Sadede gelirsek header'a gömersen içine biraz su serpilir :)