Позвольте мне перевернуть это с вашей стороны: если вы считаете, что это недостаток безопасности, попробуйте написать эксплойт, который устанавливает заголовок REMOTE_USER в запросе к вашему приложению, и посмотрите, что произойдет.
REMOTE_USER восходит к ранним временам Интернета, когда страницы CGI выполнялись локально как пользователь, с которым вы заходили на веб-страницу.REMOTE_USER - это имя переменной среды unix, обозначающей активного пользователя.Поскольку модели безопасности для веб-серверов изменились, эта схема была сохранена для совместимости.Теперь даже IIS поддерживает его для прозрачной обработки входов в Active Directory.
Все переданные пользователем заголовки начинаются с HTTP_.В противном случае вы не могли бы доверять любой информации заголовка, такой как SERVER_NAME, что было бы огромным беспорядком.