cookieオフ時のjsessionid削除でけた。

   <outbound-rule encodefirst="true">
       <from>(.*);jsessionid=[0-9A-Fa-f]{32}(.*)</from>
       <to>$1$2</to>
   </outbound-rule>

encodefirst="true"が重要で、ルール適用前にencodeURL()を実行するという意味らしいんだけど。
詳しいところは後で調べて書きます。
後、セッションIDの文字数が32文字決め打ちなので、動作はAPサーバに依存します。
というかTomcat用です。
Tomcatの設定でjsessionidを出さないように出来たような気がするけど、これも調べて後で書くことにします。