Почему пользовательские HTTP-заголовки не должны быть известны IANA?

Сейчас я прохожу курс по веб-безопасности, и на одном слайде под названием " Проверка заголовков HTTP-запросов" есть следующий момент:

• Известны ли сами заголовки Управлению по присвоению номеров в Интернете (IANA)?

Насколько я понял, каждый заголовок из нашего запроса (если это не пользовательский заголовок, который мы занесли в белый список) должен быть в списке.

Но какова цель этого? Почему эти нестандартные заголовки должны быть известны IANA?

Получаем ли мы дополнительную проверку этих заголовков по протоколу HTTP? Разве мы не можем просто написать вредоносные значения в известные заголовки?