OWASP Top 10 2017 состояний:
Идентификаторы сеанса не должны быть в URL, должны храниться в надежном месте
Но что означает «надежно храниться»?
PS: Лично я не нахожу проблем с перезаписью URL, если используется http s .