После моего поиска и получения справки от @Kellen Murphy, лучшее решение для предотвращения подмены - это использовать переменные env.
Например, я хочу отправить в мои приложения атрибут USERNAME.
Итак, я создал страницу php, которая может читать данные сеанса из заголовка
<html>
<head>
<title>Session data</title>
</head>
<body>
<?php
print_r($_SERVER["HTTP_X_USERNAME"]);
?>
</body>
</html>
Затем я запустил страницу php с
php -S localhost: 9000
Затем я передал переменную env в качестве переменной заголовка
RequestHeader set X-USERNAME %{USERNAME}e
ProxyPass /Session http://localhost:9000
ProxyPassReverse /Session http://localhost:9000
Теперь я могу получить свои атрибуты, атаковав страницу: https://example.com/Session