Prescindendo dal fatto che quoto quanto detto da filippo.toso, ho deciso di inserirmi per capire meglio alcune cose dette.

filippo che intendi esattamente con:
Si, certo, a meno di usare correttamente le sessioni e gli header per evitare, ad esempio, l'inserimento in cache, oppure usare una tecnica di one time password (sempre basata sulle sessioni) che permette il login a partire da una specifica form solo una volta, etc. E tutto questo può essere fatto ed implementato in piena sicurezza sia che si utilizzino "redirect" o no.
e con:

Anche a questo vi è rimedio (es. analisi degli header, etc.) e comunque limita il problema ai soli utenti che accedono attraverso proxy in round robin, etc.
Quindi con "evitare l'inserimento in cache", "tecnica di one time password" e "analisi degli header" ?

Mi hai incuriosito.