そもそもセッション管理をinput[type="hidden"]等で行うべきではない。改竄が容易というのもあるし、もしCSS3のcontentやappearanceが実装されると、簡単にブラウザ上にこの要素をinput[type="text"]のように表示してデータを変更して送信し直せる可能性が高いからだ。

元ネタは、hoshikuzuさんのとこや、もずはっく日記から見つけますた。

あまりこういうキャッチーなことを言うと妄信的にhiddenを使わなくなってしまって、今度はCSRFの餌食に（ｒｙ

CSRFのことも考えると、はてなみたいに基本的にCookieでセッション管理して、input[type="hidden"]でcookieの正当性を検証する（はてなでは、cookie値のハッシュを使ってる）って方法がベスト、ってことでFAなのかな？

referrerはノートン先生がブロックしちゃうみたいなので、あまり信頼して使いたくないし。