Должны быть готовые решения, гляньте как там реализовано, типа asp mvc. В гет лучше ничего не пихать и вообще им лучше не пользоваться ао многих местах. Если нет сессии, почему вообще встал вопрос об этой уязвимости? Сессия не хранится-это как? Токен должен соответствовать сессии и например пути.