Hallo und guten Morgen,
HTTP_HOST ist nicht gleich <leer>.
Das kann mMn nur bei Fehlkonfiguration in der Grauzone (Server wehrt sich nicht dagegen) vorkommen, wenn ein Webserver sowohl IP-basierte, als auch namebasierte Virtual Hosts betreut.
Dass ein Request ohne Host-Header daherkommt, ist recht ungewöhnlich. Ein kurzer Test ergab, dass selbst bei einem Request nach IP-Adresse statt Namen sowohl Chrome, Firefox und Edge eine Host-Zeile mit der IP-Adresse versenden. Ist das nicht sogar eine Pflicht-Angabe? Ich würde jedenfalls solche Requests als defekt, wenn nicht gar maliziös einordnen.
Von einer Fehlkonfiguration des Webservers würde ich nicht ausgehen. Requests ohne Host-Zeile landen im Default-VHost oder werden IP-basiert zu einem VHost durchgestellt. IP-basiert ist auch nicht unbedingt das, was man heutzutage macht, weil das eine eineindeutige Zuordung zwischen Website und IP-Adresse erfordert.
Danke für die Ergänzung. So weit war ich vorhin auch ungefähr gekommen, nur die Szenarien ausprobieren konnte ich nicht mehr. Denkbar wäre auch noch eine bewusste Fehlkonfiguration im DNS oder die Zwischenschaltung eines (Reverse-)Proxys [Das Thema mit dem "Reverse" wollte ich jetzt nicht vertiefen]. Zumindest hat Apache dieses verrückte Beispiel ganz offiziell in seinen Virt-Host-Beispielen drin. Apache Rewrite Guide.
Vielleicht kann man damit etwas "reparieren", was an anderer Stelle im Netz versaubeutelt wurde?
Liebe Grüße
TS