Nur zur Klarstellung: Das kann auch das bereits vorhandene Session-Cookie sein. Nicht, dass jetzt jemand hingeht und ein Extra-Cookie "strickt".

Ja da hast Du vollkommen Recht, natürlich muss das der Sessioncookie sein. Also brauchen wir noch einen Request vorher um zu gucken wie der heißt 😉