Никакой дыры не вижу. И то, и то (документ и заголовки) — части одного целого, HTTP Response. Формируются одновременно веб-сервером.
Раз уж была возможность эмулировать заголовки в документе (в HTML это <meta http-equiv="..." content="..."/>), то вот еще есть эмуляция элементов документа в заголовках. Если браузер не будет трактовать скрипты, указанные в Link: как-то иначе, чем скрипты, указанные в теле документа — дыре возникнуть не с чего. Даже HTTP headers smuggling тут вроде никак не применить.