Ситуация такова, что заголовки такого типа по умолчанию не передаются через вызов веб-службы.
Если вы не сопоставите свое имя заголовка в:
<xsd:attribute name="mapped-request-headers" type="xsd:string">
<xsd:annotation>
<xsd:documentation><![CDATA[
Comma-separated list of names of SOAP Headers to be mapped from the SOAP request into the MessageHeaders.
This can only be provided if the 'header-mapper' reference is not being set directly. The values in
this list can also be simple patterns to be matched against the header names (e.g. "foo*" or "*foo").
]]></xsd:documentation>
</xsd:annotation>
</xsd:attribute>
он не будет включен ни в целевой SOAP-запрос, ни в заголовки HTTP.
Таким образом, полностью безопасно сохранять конфиденциальные данные в заголовках перед выполнением вызова веб-службы и восстанавливать эти данные после получения ответа.
Хотя вам определенно нужно подумать об удалении этого заголовка в каком-то месте после его использования. Некоторые другие компоненты могут не ограничивать передачу заголовков.
UPDATE
В случае <int-http:outbound-gateway> по умолчанию существует DefaultHttpHeaderMapper, который настроен только для сопоставления некоторых стандартных HTTP-заголовков на основе запросов. Пользовательские заголовки конечного пользователя не отображаются по умолчанию. По сути, так же, как я описал для веб-служб.