HttpSessionを使うWebアプリケーションは
大体これを意識しないといけません。

基本的に

• 「押しちゃ駄目ですよ」と言う
• ブラウザのキャッシュを消す

ことでお茶を濁してきました*1

他にもトークンでがんばるとか*2ありますが、こういうことのガイドラインとかケース毎の対策が一目でわかる表とかって
無いのかなーなんて思ってみたり。
まぁ、同じシステムでも機能の違いで「戻る」ボタン使いたいと思うことも
あるでしょうから*3、フレームワーク側で全て討ち取ることも難しいかもしれない。
BtoBならまだ許せるけど、BtoCはちょっとその制約厳しいかもしれませんね。

私の知らない選択肢があるかもしれませんし。
最近の開発ではどうなんでしょうか？