Übertragen wird immer nur mit HTTP. Und ob die URL im HTML-Klartext stand oder per JavaScript in die Seite geschrieben wird, bei der HTTP-Übertragung steht das selbe drin.

jup ich weiß, das hochladen ist hier nicht das problem, sondern das runterladen / parsen.

Du könntest statt Sessions natürlich auch Authentifizierung per "htaccess" machen, dann hast Du gar keine SessionID o.ä. mehr in der URL, dann schickt der Client die Anmeldedaten selbständig mit, ohne dass Du oder Deine Nutzer das bemerken.

Ich kenne mich mit htaccess zu wenig aus. Ich will es auch weiterhin über Sessions laufen lassen.