Hallo,
Aber Der Martin hat doch schon geschrieben, dass 401 fix an das Credential-Fenster gebunden ist. https://forum.selfhtml.org/?t=218943&m=1512333
Genau genommen hat er imho seine Erfahrung geschildert und keine mit Nachweisen untermauerte, standardkonforme Tatsache behauptet ;)
sagen wir mal, ich habe anhand logischer Überlegungen verallgemeinert. ;-)
Und wir widersprechen einander ja auch nicht wirklich, wir betrachten nur unterschiedliche Teilaspekte. Ich habe (pauschal) behauptet, ein Browser, der per 401-Status zur Authentifizierung aufgefordert wird, fragt die Daten sofort vom Nutzer ab, um den Request dann _mit_ Credentials und der (einer) akzeptierten Auth-Methode zu wiederholen.
Und dein Gedanke war, wenn ich es richtig verstanden habe, dem Browser nur einen Auth-Type anzubieten, den er garantiert nicht kennt, so dass er von vornherein darauf verzichtet, die Daten abzufragen - er wüsste ja sowieso nicht, wie er dann damit umgehen muss. Das ist auch irgendwie nachvollziehbar, nur: Welches Ziel hätte man damit erreicht? Welchen Zweck hätte die Auth-Aufforderung, wenn sie nicht erfüllbar ist? Dann kann ich doch das Auth-Gedöns auch gleich lassen - oder übersehen ich den eigentlichen Trick?
Kann man von einem Hack reden, wenn man dem Browser sagt: "Dein user muss sich authentifizieren, aber du kennst die Methode dafür nicht"? Eher nicht.
Nein, eher nicht. Aber von einer unlösbaren Aufgabe. ;-)
So long,
Martin
F: Was sagt die kleine Kerze zur großen Kerze?
A: Ich gehe heute nacht aus!
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(