Akkor már csak azt kötelező megoldani, hogy a jsessionid soha ne kerülhessen ki url-be, mert nem ott van a helye :)