certo, un pacchetto http è possibile fabricarselo come si vuole dato che si tratta di semplice testo ASCII, ma non vedo quale problema questo implichi che ti impone di prestare così tanta attenzione. L'unica cosa davvero interessante può essere la questione del cookie di sessione ma a meno di un attacco di session spoofing anche questo è trascurabile.

A meno che non fai una estensione degli headers standard del protocollo HTTP (ad esempio per costruire un servizio REST) non hai di certo di che preoccuparti del contenuto degli headers delle richieste.