hi,

Ich habe hier schon öfters was von @-Domains und so nem Zeugs gehört, und zwar nur, dass es kein korrektes HTTP ist,

stimmt. es ist ein anwednungsfall der übergabe von login-daten in der form username:passwort@www.example.com - nur _erlaubt_ nach definition eines URLs ist es nicht.

mit JavaScript generiert wird [...]
Wenn es wirklich mit JavaScript geht, dann bitte: wie ?

wie kommst du darauf, dass das irgendwas mit javascript zu tun hätte?

irgend jemand gibt z.b.
http://benji@example.com/ in der adresszeile seines browsers ein, und vorausgesetzt, dass es trotz "falschheit" funktioniert, so dass ein request an example.com geschickt wird, so kann dort ein script o.ä. den usernamen 'benji' abfragen, und dich in abhängigkeit davon irgendwohin weiterleiten.

mehr steckt da nicht hinter, und javascript ist komplett aussen vor.

gruss,
wahsaga