Olá Junior!
Obrigado pela resposta, mas já encontrei a solução. Para constar para futuras consultas, utilizamos em nosso sistema o método request.httpmethod que retorna uma string "post", "get" e mais algumas outras possibilidades. Só fazer alguma verificação em
cima disso e se maliciosamente alguém tentar trocar um post por um get, não terá sucesso.