¿Se consideraría esto como una buena práctica o hay una mejor manera de hacerlo?
No, esto no parece ser lo ideal.
El mayor problema que veo es que pones un ID de sesión en el HTML de una página. Es una buena práctica hacer cookies de sesión httpOnly para hacer que XSS sea un poco más difícil de explotar. Al poner el ID de sesión en el HTML, filtra esa información en caso de XSS, lo que hace que httpOnly sea inútil.
Esto también puede ser un problema si los datos confidenciales se almacenan en una sesión, ya que alguien que secuestró una sesión o cuenta ahora tiene acceso a todas las sesiones. El impacto parece menor, pero no parece ideal y puede ser un problema según la aplicación.
Además, no tiene ninguna protección CSRF que, aunque es una mala práctica en general, no tiene un impacto de seguridad en este caso, ya que no es una acción muy delicada y un atacante debería conocer el ID de la sesión. , que no lo hacen. Aún así, no parece ideal y también viola RESTful.
Finalmente, nunca es una buena idea colocar datos confidenciales en una URL, sino que debe enviarse mediante POST, ya que de lo contrario podría filtrarse de varias maneras. Una vez más, es probable que esto no sea un problema de seguridad, ya que los datos son inútiles tan pronto como se utilizan, pero no siguen las mejores prácticas (y pueden ser un problema, por ejemplo, cuando la eliminación no funcionó).
Yo sugeriría usar identificadores que sean independientes del identificador de sesión real, y enviarlos a través de POST en su lugar.