POST が CSRF 対策になるか については、なるわけ無いと思うのですが
金床さんの文章「開発者のための正しいCSRF対策」の Version 2.1 以前 に書かれてる「■正しいCSRF対策」のあたりを“誤読”したり“半端に引用”したりすると勘違いする人は出現しそうな予感です。
※CSRF については ANSI の平田さんが 2001年に書かれた「セッション管理の脆弱性」が、シンプルで分かりやすく、未だに通用する良文章だと思います。
(攻撃側の参考にもなるので URL は略すのですが、ググれば一発という無意味な自己満足)
> GET にすると、処理完了画面を利用者がリロードしただけで、データ更新処理がもう一度走ってしまいます。
更新処理が再度走るかは、作り方次第でどうとでもなるような気がしました。
> 機能要件の面から POST にしろという要請があるはずです。
> ※POST でもリロードできますが、その場合は「データをもう一度送信しますか?」と聞かれるはず。
「データをもう一度送信しますか?」自体が更新処理再走の抑制になるものでもありませんし、再送による再走の対策(シャレのようだ)に POST と GET はあまり関係無いように思えます。
まあ、ログとかリファラに残っちゃうのイヤンとかの理由抜きにしても GET 許容で作ったりした事無いので、大いに関係あるのかもしれませんが。