Есть ли техническое требование для обслуживания ответов 404?

Вы можете найти ответ/видео на https://security.stackexchange.com/a/150762/10843, которые имеют отношение к вашему второму вопросу.

с условиями согласен, стандартный клиент сначала ждет статус а потом действует соответственно ответу имхо

Прошу прощения, если я пересматриваю свой вопрос с этим комментарием, но то, на что я смотрю, - это очевидный мусор, выброшенный на сервер. Кажется, что все, что имеет заголовок Host, не соответствующий тому, что я обслуживаю, должно быть просто удалено, потому что анализ журналов показывает, что это 100% боты и, вероятно, связаны с древними назначениями IP-адреса, поэтому ответ 404 бессмыслен. В какой-то момент запрос должен считаться недействительным или даже враждебным, и 100 запросов в секунду, сгенерированный ботом 404 мусора, выглядят враждебно, по крайней мере, для меня, и я действительно предпочел бы отказаться от этого, но я предпочитаю следовать стандартам.

Вы можете ответить «400» на недопустимый заголовок «Host:» (раздел 5.4 RFC 7239). Вы можете оценить запросы ограничения и ответить «429». Если клиентский хост действительно враждебен и генерирует слишком много ошибок 4xx, вы можете заблокировать их на уровне IP (`fail2ban` и т. д.) и разорвать соединение (RFC 6585, раздел 7.2).

RFC 1945 носит информационный (но все же полезный) характер — знаете ли вы, рассматривается ли это в других документах?

Что ж, этот RFC в значительной степени является фундаментом Интернета. Но вы также можете обратиться к RFC 2068, 7231, 7540, .... Нет, нигде нет «Интернет-стандарта», но это так.

Я понимаю, что официального стандарта на самом деле нет, но есть разница в статусах RFC, для определения которой был создан [RFC 2026](https://datatracker.ietf.org/doc/html/rfc2026). RFC «Лучшая текущая практика» (даже не стандарт!).

Я это понимаю, но (как ни странно) так обстоят дела.

Этот вопрос на других языках: