Noch mal: Wenn der Browser sich bereits mit einen Request erfolgreich authentifiziert hat - dann *merkt* er sich diese Daten, und schickst sie beim nächsten Request nach einer Ressource automatisch wieder mit.

Du könntest also zunächst einen AJAX-Request auf irgendeine „uninteressante“ Ressource im Realm absetzen, dabei die Zugangsdaten mitgeben (nicht über einen selbstgebastelten Header, sondern über die dafür vorgesehenen Parameter) - und dann sollte der Browser beim anschließenden Ausführen des stinknormalen Links nicht (erneut) nachfragen.

Ist und bleibt hinsichtlich „Sicherheit“ natürlich trotzdem kolossaler Blödsinn.

okay, danke! das hat mir geholfen, was ich nicht wusste, ist, dass die auth. nur "einmal stattfinden" muss und sich der browser diese dann merken sollte. vielleicht hab ichs am anfang auch zu umständlich erklärt. ich probiere das morgen aus und sag noch mal was rausgekommen ist (auch beim verprügeln :-))