HttpSessionを使うWebアプリケーションは
大体これを意識しないといけません。
基本的に
- 「押しちゃ駄目ですよ」と言う
- ブラウザのキャッシュを消す
ことでお茶を濁してきました*1
他にもトークンでがんばるとか*2ありますが、こういうことのガイドラインとかケース毎の対策が一目でわかる表とかって
無いのかなーなんて思ってみたり。
まぁ、同じシステムでも機能の違いで「戻る」ボタン使いたいと思うことも
あるでしょうから*3、フレームワーク側で全て討ち取ることも難しいかもしれない。
BtoBならまだ許せるけど、BtoCはちょっとその制約厳しいかもしれませんね。
私の知らない選択肢があるかもしれませんし。
最近の開発ではどうなんでしょうか?