hi,

Warum nicht? Wenn Parameter im QueryString Schreibaktionen auslösen, dann ist das so und da hat sich der Enwickler bestimmt was dabei gedacht. Stell Dir vor, Du hast eine Tabelle im Browser und für jede Zeile gibt es eine Löschoption. Soll denn da für jede Zeile ein Formular+Submit-Button in den Browser gerendert werden nur, damit das Löschen eine POST-Aktion wird?

Da wird ein delete=id gesetzt und fertig ist der Lack. Natürlich mit Rückfrage nach vorheriger Authorization. Wenn die Sicherheit darin bestehen würde, das Versenden solcher URLs per Email zu vermeiden, wäre das je geradezu idiotisch. Ebensowenig ist Sicherheit eine Frage der Requestmethode. Das war sie noch nie!

MfG