Dein sogenannter "headerballast" ist zwingend notwendig für eine standardkonforme und browserübergreifend funktionierende Bildauslieferung. Dass der IE hier eine Ausnahme bildet und bei gewissen Mime-Typen selbst nachschaut, welcher Medientyp da kommt, wurde erwähnt. Die Welt besteht aber nicht nur aus IEs, wie dir jede Browserstatistik beweist.

NEIN IST ES NICHT, weil es hier lediglich um eine Demonstration
geht. Du sagst ja auch nicht alle Errors müssen ständig angezeigt
werden. Sein gewünschtes Ergebniss beinhält keinerlei
direkte nackte Ausgabe am Browser. Nur für Ihn zum Testen !!!
Und wenn sein Browser das offensichtlich so anzeigt,
wofür dann noch die Headerangaben?

Und die besteht darin, den HTTP-Request auf das Bild abzufangen, und dabei die Benutzerauthenfizierung zu prüfen. Alles andere ist Mumpitz.

Diese Lösung hatte ich Ihm schon am Anfang des Threads
breitgestellt. Aber er will es so nicht, begreift Ihr das mal?

Wenn's aber aufwendig wird, kneifst du.

Oh nein, aber für wen? Ihr seid nicht einmal in der Lage zu
begreifen was Phil eigentlich will.
Wenn Ihr das begriffen habt, nämlich:

1. Sein Bilderordner oberhalb von Root
2. Kein Standalone Bild im Browser

werdet Ihr erkennen, dass hier niemals ein Dateiauslesen
oder eine erlaubte Pfadangabe zu einem Originalen Bild
stattfindet.

Und dann, falls Phil es wissen möchte zeige, ich Ihm gerne
noch eine akzeptable Lösung für das Löschen der Files.
Was aber meiner Meinung nach in einem neuen thread gehört,
ala Wie lösche ich temporäre Dateien sinnvoll?

Denn dann finden auch Personen die Hile, die nur speziell
nach sowas suchen.