Spontan würde mir aber als weg einfallen, User Agent und Remote Address in der Session zu speichern und bei jedem Request zu vergleichen
Ein User ist nicht eindeutig einer IP-Adresse zuzuordnen. Eine Session ist nicht einmal eindeutig einem User-Agent zuzuordnen.

Ja, aber als Angreifer, Session-ID, UA und IP-Adresse zu erraten, selbst wenn es nur UA & IP-Adresse ist, sollte doch sehr unwahrscheinlich sein, oder?

100% risikofrei gibt es sowieso nicht.

Wenn es um Sicherheit geht, sollte man nicht versuchen, etwas eigenes zu erfinden, es sei denn, man hat sich intensiv mit vorhandenen Lösungen auseinandergesetzt. Sonst kommt etwas heraus, das tausendmal unsicherer ist als bewährte Lösungen.

Ich möchte eben nichts neues erfinden, sondern wissen wie ich es am besten mache.

Aus deinem Post interpretier ich, dass Session-Cookies schlimm genug sind und ich lieber kein Fallback via GET-Parameter machen soll. (Jede Seite als Antwort als POST-Request fällt ja sowieso aus)

MfG
bubble