Если вы удалите JSESSIONID из вашего вызова ajax, ваш контейнер сервлета не будет идентифицировать ваше приложение и ресурсы, хранящиеся в сеансе (что является побочным эффектом, в зависимости от ваших требований).
например. получение списка защищенных ресурсов (для этого требуется авторизация). Если пользователь вошел в систему (и информация о пользователе вошла в сеанс), и Ajax не пропустил JSESSIONID, нет способа проверить пользователя, вошедшего в систему (так как нет сеанса приложения). Таким образом, защищенные ресурсы не извлекаются.
Просто 2центная мысль.