Hallo,

nun mal der Reihe nach:
1. die eigentliche URL wird vom Browser an den Server gesendet
2. wegen der Auth-Direktive in der .htaccess schickt der Server einen 401-Header zurueck
3. der Browser fragt das Passwort ab und sendet es an den Server
4. die Seite wird ausgeliefert, falls das Passwort stimmt

Erst wenn das Passwort NICHT stimmt oder der User auf 'Abbrechen' clickt, kommt die Direktive fuer Error-401 ins Spiel, mit der man die Standardfehlerseite ueberschreibt.

Das klappt auch alles zur Zufriedenheit, solange man als Weiterleitung <meta http-equiv= ... verwendet.

Erst wenn man statt dessen header(); verwendet, geht alles in die Hose, sprich, das Passwort wird gar nicht erst abgefragt. Das ist definitiv der falsche Ablauf !

PS:
Die Idee statt einem 401-Doc ein 403-Doc zu definieren bringt nix.
Man erhaelt beim Abbruch oder falschem Passwort die Standardfehlerseite fuer Error-401.
Habe ich extra noch einmal getestet ... :-((

Gruss und Dank
Norbert