Hallo, das könnte man zwar recht einfach machen, aber dadurch wird es dann über Referrer-Abfragen auch relativ einfach, die Session zu hijacken und hier gehts um sensible Daten auch, Sicherheit hat da Vorrang.

ich fände es logisch, statt die Schuld beim Kunden zu suchen, die Anwendung so anzupassen, dass sie die Session-ID dann halt in der URL mitschleppt statt im Cookie; gerade in einem JavaEE-Kontext ist das doch dank response.encodeURL() nicht übermäßig schwer.