Gibts es ausser Lösungen, die auf der Clientseite laufen müssen,
eine Möglichkeit die Übertragung dieses Headers zu verhindern?

nein, da es der Client ist, der den Header überträgt (oder eben nicht).

Schade.

Was Du also tun solltest ist, die Session-ID möglichst streng zu
reglementieren. Wenn Dir ein Timestamp nicht ausreicht, benutze
die IP und ggf. den User-Agent in der Kodierung mit. Auch
HTTP-X-Forwarded-For ist kein uninteressanter Header.

Also zeitbegrenzt sind die Sessions bereits. Die anderen Header
werde ich nicht benutzen, da diese während der Session nicht
unbedingt gleich bleiben.

Letztlich halte ich den Aufwand aber für overdone.

Da hast du sicher recht, allerdings habe ich mich bisher bei der
Programmierung bemüht, solche Leaks zu vermeiden. Und nun kommen
diese Bilder und machen mir alles kaputt ;(

Ich frage mich schon die ganze Zeit für was der Referer Header
erfunden wurde. Die Möglichkeit dadurch kaputte Links zu entdecken
ist steht ja wohl in keinem Verhältnis zu den Möglichkeiten dadurch
Benutzerprofile zu erstellen. :(

Florian