Would this be considered good practice or is there a better way to do this?
No, questo non sembra essere l'ideale.
Il problema più grande che vedo è che hai inserito un ID di sessione nell'HTML di una pagina. È buona prassi creare cookie di sessione httpOnly per rendere l'XSS un po 'più difficile da sfruttare. Inserendo l'ID di sessione nell'HTML, si perdono tali informazioni in caso di XSS, rendendo quindi httpOnly inutile.
Questo potrebbe anche essere un problema se i dati sensibili sono archiviati in una sessione, poiché qualcuno che ha dirottato una sessione o un account ora ha accesso a tutte le sessioni. L'impatto sembra minore, ma non sembra ideale e potrebbe essere un problema a seconda dell'applicazione.
Inoltre, non hai alcuna protezione CSRF che - mentre le cattive pratiche in generale - non ha un impatto sulla sicurezza in questo caso in quanto questa non è un'azione molto delicata e un utente malintenzionato dovrebbe conoscere l'ID della sessione , che non fanno Tuttavia, non sembra ideale e viola anche RESTful.
Infine, non è mai una buona idea mettere i dati sensibili in un URL, dovrebbe invece essere inviato tramite POST perché altrimenti potrebbe perdere in vari modi. Di nuovo, questo probabilmente non è un problema di sicurezza, dato che i dati sono inutili non appena vengono utilizzati, ma non seguono le migliori pratiche (e potrebbero essere un problema, ad esempio quando l'eliminazione non ha funzionato).
Suggerirei di utilizzare id che sono indipendenti dall'ID di sessione effettivo e di inviarli tramite POST.