То, что вы сделали здесь, может несколько улучшить общую безопасность решения, но не обязательно предотвратит перехват сеанса.
проблема безопасности с размещением идентификатора сеанса в URL заключается в том, что URL-адреса открытыв разных местах (например, скопированные и вставленные URL-адреса могут отображать живой сеанс, URL-адреса могут храниться в журналах прокси-сервера, журналах веб-сервера и в истории браузера), что может позволить злоумышленнику получить действительный идентификатор сеанса и получить доступ к вашим пользователям.data.
В идеале вы должны удалить JSESSIONID из URL во всех местах и использовать только хранилище файлов cookie.
Кроме того, если вы хотите уменьшить угон сеанса, существует ряд других областей, которые следует учитывать.
Необходимо использовать SSL на всех страницах, на которых передается идентификатор сеанса (это позволяет снизить риск перехвата идентификатора сеанса при передаче (например, атака Firesheep).
Еслиидентификатор сеанса устанавливается до того, как вы аутентифицируете пользователя, вы должны убедиться, что новый идентификатор сеанса выданкогда пользователь входит в систему.
Также, если возможно, файлы cookie сеанса должны использовать флаги httpOnly и secure, чтобы уменьшить риск их утечки по каналам открытого текста.
Есть несколько хороших дополнительныхинформация на сайте OWASP
Кстати, если у вас есть дополнительные вопросы по вопросам безопасности, специально для этого есть сайт обмена стеками на Security.stackexchange.com