Moin;

Denn der Host:-Header kommt vom User und ist daher unzuverlässig — sogar unsicher.

Das stimmt! Wenn der User einen falschen Host angibt, wird dies vom IP-Stack nicht bemerkt und der Request geht an den falschen Host. Und wer weiß was der dann damit macht!

Schönen Sonntag.