Hallo!

An wen wird denn der Location-Header gesendet? An den Client.
Was macht der damit? Er ruft die angegebene Ressource auf und zeigt sie in der Adresszeile an.
War das nicht das, was verhindert werden sollte? Dieser Vorschlag ist also untauglich.

Ist er nicht. Die aufgerufene Seite interessiert ja auch keinen.
Wenn ich mittels eines Formulars Benutzer:Passwort@Link übergebe,
komme ich ohne nochmalige Eingabe der Daten in den Passwortgeschützten Bereich.
In der verlinkten Datei im Passwortgeschützten Bereich leite ich auf eine andere weiter und habe somit deren Namen oben stehen und nicht mehr User:Passwort@Link. Klar oder?

Gruß, Matze