¿Cómo mejora la seguridad el patrón "publicar / redirigir / obtener" (PRG)? Veo el principio de "confirmación mediante redundancia", pero no entiendo cómo podrían contrarrestar los riesgos.
Como desarrollador de redes, veo una oportunidad para que alguien secuestre la solicitud o realice otros tipos de ataques de hombre en el medio. Si su sitio no se carga a través de HTTPS, o no exige el uso de cookies, ¿cómo podría permitirse esto?
Es principalmente un problema de usabilidad y no un problema de seguridad.
POST-REDIRECT-GET (RPG) está ahí para evitar que el cliente envíe el mismo formulario 2 veces por error cuando intenta recargar la página, por ejemplo.
Además, si el cliente intenta navegar a una página anterior que es un POST, el navegador a menudo mostrará una página en blanco que es una experiencia de usuario pobre. Al agregar REDIRECT-GET, no obtendrá este problema de página en blanco.
No creo que esté relacionado de ninguna manera con la seguridad de la aplicación, ya que no te permitirá hacer algo que no debes hacer si solo usas POST.
Nota
Parece que te preocupas por el ataque Man-in-the-middle y solicitas el secuestro, pero si tienes ese tipo de problemas, ya es un juego sobre RPG o no. Entonces, si esas son las cuestiones, sugeriría usar https.
Lea otras preguntas en las etiquetas web-application network rest