Да, и, честно говоря, я хотел бы придерживаться этой парадигмы. Тем не менее, я мог бы изменить правило и сказать, что запросы, которые не изменяют / обрабатывают данные CRUCIAL, будут доступны через вызовы GET ... хм ...
Например, я создаю систему корзины покупок, и я думаю, что разрешение на добавление / удаление / и т.д. элементов в / из корзины может быть очень легко раскрыто с помощью GET, поскольку даже если вы можете изменять данные, вы не можете сделать что-нибудь критическое с этим. Если кто-то злонамеренно добавит 1000 мониторов с плоским экраном в вашу корзину для покупок, будет хотя бы один шаг проверки, который НЕ будет уязвим для любых атак (стандартная страница ASP.NET на тот момент, с проверкой и всем этим джазом).
По мнению кого-либо, это хорошее / работоспособное решение?