Hallo Matthias,

Sonst muss man das Token bei jedem Formular-Aufruf neu generieren und in der Session ändern; und wenn man das macht, ist man auch nicht mehr wirklich gegen einen Reload geschützt: ich rufe das Formular erneut auf, das Token ändert sich, ich lade die Seite mit dem POST-Request neu, das Token unterscheidet sich - zack, doppelter Datensatz.

Aber das muss man ja auch schon absichtlich machen. Zum Beispiel in zwei Browsertabs das Formular öffnen, es nur in einem abschicken und dann in beiden Tabs F5 drücken.

Vielleicht, aber nicht mit dem Wunsch den Reload zu umgehen. Meinem Chef passiert das öfter, einfach weil er gerne schonmal den Überblick über seine Browser-Tabs verliert. Und durch mangelnde Geduld wird dann halt einfach CMD+r gedrückt. Bei uns ist das allerdings idR kein Problem, dem Redirect sei dank ;-)

LG,
CK