Hi,

Gibts es ausser Lösungen, die auf der Clientseite laufen müssen,
eine Möglichkeit die Übertragung dieses Headers zu verhindern?

nein, da es der Client ist, der den Header überträgt (oder eben nicht).

Was Du also tun solltest ist, die Session-ID möglichst streng zu reglementieren. Wenn Dir ein Timestamp nicht ausreicht, benutze die IP und ggf. den User-Agent in der Kodierung mit. Auch HTTP-X-Forwarded-For ist kein uninteressanter Header.

Letztlich halte ich den Aufwand aber für overdone.

Cheatah