ist es denn wirklich ein clientseitiges Problem?

Durchaus. Wenn clientseitig Uri gebastelt werden, die nicht vorgesehen sind…

Andere Beispiele für serverseitige Antworten auf unwillkommene Clientanfragen wären

• 409 (Bad Request)
• 403 (Forbidden) (dazu würde ich neigen)
• 409 (Policy Not Fulfilled)
• 423 (Locked)
• 424 (Failed Dependency)

Meine Lieblingskandidaten sind aber

• 404 (NOT Found - für Honeypots),
• 402 (Payment Required - Angreifer verarschen),
• 418 (I am a Teepot - "Du denkst wohl ich bin blöd.")

und:

• 204 (No Content - "Nö. Du bekommst keine Antwort.")