In che modo lo schema "post / redirect / get" (PRG) migliora la sicurezza? Vedo il principio della "conferma attraverso la ridondanza" in gioco, ma non capisco come potrebbero controbilanciare i rischi.
Come sviluppatore di rete, vedo un'opportunità per qualcuno di dirottare la richiesta o eseguire altri tipi di attacchi man-in-the-middle. Se il tuo sito non è caricato su HTTPS o non richiede l'uso di cookie, come potrebbe essere consentito?
È principalmente un problema di usabilità e non un problema di sicurezza.
POST-REDIRECT-GET (RPG) serve per impedire al client di inviare lo stesso modulo 2 volte per errore quando tenta di ricaricare la pagina, ad esempio.
Inoltre, se il client tenta di navigare verso una pagina precedente che è un POST, il browser visualizzerà spesso una pagina vuota che è un'esperienza utente scadente. Aggiungendo REDIRECT-GET, non otterrai questo problema con la pagina bianca.
Non penso che sia correlato in alcun modo alla sicurezza dell'applicazione in quanto non ti consente di fare qualcosa che non dovresti fare se usi solo il POST.
Nota
Sembra che tu ti preoccupi dell'attacco Man-in-the-middle e richiedi un dirottamento, ma se hai questo tipo di problemi è già game over RPG o no. Quindi, se queste cose sono il problema, ti suggerisco di usare https.
Leggi altre domande sui tag rest network web-application