Ich hab mir das bei Ubuntu mal angesehen.

Da wird per Java-Script der Download via window.location.href='...' angestoßen und sich von Anfang an durch Sichtbarmachen eines Danke-Abschnitts für den Download, das Vertrauen und so weiter bedankt.

Da gibt es allen Ernstes einen Stapel JavaSkript-Funktionen, der dann in

function delayStartDownload(downloadLink, delay) {
  window.setTimeout(function () {
    window.location.href = downloadLink;
  }, delay);
}

endet. Das Delay steht bei 3 Sekunden (wahrscheinlich haben sich 3 von 4 Testern, „die gegenüber dem Internet keine Vorbehalte oder Voreinstellung haben“ dafür entschieden, dass 3 Sekunden zu warten, etwas Tolles sei. Nur habe ich in der Zeit was besseres zu tun und meistens schon den Link zum direkten Download angeklickt, denn:

Einen skriptfreien Downloadlink gibt es a) via

<noscript><a href="...">Klicken Sie hier um pla blubber</a></noscript>

und b) dann nochmal bei oben gezeigtem „Danke“, a.k.a. „Wenn der Download nicht funktioniert klicken sie bitte hier“.

Und das alles verpackt in 72 die Umwelt belastende Kilobytes…

Ich denke, dass Browser sich mit Händen und Füßen gegen einen drive-by Download wehren.

Naja: Immerhin fragt der Browser, wo er das hin tun soll. Und es gibt in diesem Dialog eine Taste zum Abbrechen.

d.h. ein Response-Header "Content-Disposition: attachment" kann vom Browser schnöde ignoriert werden?

Why not? Mindestens der IE hat (sofern ich mich recht erinnere) sogar den explizit gesetzten Content-Type manchmal ignoriert, den Mime-Type selbst untersucht und dann das getan, was er (aus Sicht eines vernünftigen und verständigen Benutzers) tunlichts nicht tun sollte ...