Это на самом деле спорно из-за флага [R].
Поскольку Вы отправляете внешнее перенаправление, это значит дерьмо безопасности для точки, когда сервер получает переписанный URL. В этой точке это - точно так же, как это было бы, если бы кто-то снял URL с клавиатурного перехватчика на Вашем компьютере. Сервер должен рассматривать переписанный URL через новый запрос, любят никогда не было переписывания.
Само перенаправление .htaccess действительно "безопасно" (если серьезная удаленно годная для использования ошибка не найдена в mod_rewrite или mod_rewrite-связанном коде Apache).
Давайте взглянем на демонстрационный входящий запрос:
Единственная проблема, о которой я могу думать, так или иначе перенаправляет посетителя файла, который он или она, как ожидают, не будет видеть. Например, если Apache позволят "следовать за символьными ссылками" и переписать точками правила в символьной ссылке на, например, Вашем/etc/passwd, то Apache будет действовать, как проинструктировано и отправит Ваш/etc/passwd в браузер. Но это не действительно проблема безопасности перенаправления .htaccess.