Und wie kommen die Session-IDs i.d.R. wieder zurück zum Server? Richtig, per Cookies (*).
Aber diese Session-Cookies sind meist spezielle Cookies: Ihre Lebensdauer endet mit dem Schließen des Browsers. Somit bleibt nix übrig und eine Sicherheitslücke entsteht dadurch auch nicht. Ich denke, diese Art von Cookies verbieten die wenigsten.



(*) Es gibt auch die Möglichkeit, die Session-IDs per GET an die URL zu hängen, das iat aber unkomfortrabel, da der ganze Rattenschwanz an jeden Seitenaufruf angehängt werden müss und es ist ein Sicherheitsrisiko, da bei einem Senden eines Links, der eine solche ID enthält, die ID mitübergeben wird. EIn anderer kann dann u.U. deine Session nutzen.