De ce que je comprend, la récursivité n’est pas un besoin mais au contraire un cas d’erreur qui pourrait menner a un crash, et le header est la solution bancale qui leur permettait justement d’éviter ça en stoppant le traitement des midleware si le niveau d’imbrication est trop élevé.
Sauf que comme ce header pouvait être injecté directement en entrée, un utilisateur externe pouvait tout desactiver.