ダイジェストアクセス認証を正しく実行するためのクロスプラットフォームソリューションが必要です。できれば、POST要求に「qop=auth-int」を使用します。Operaだけがqop=auth-intで応答するようで、IE6はダイジェストで問題が発生します。
だから私は自分自身に思いました:私はAJAXリクエストを実行し、setRequestHeader()を使用して自分で認証を実装します。RFC-2617を実行するために必要なサーバー側のものをすでに実装しているので、ここでの唯一の主要なハードルは、401 WWW-Authenticateヘッダーを解析して適切な応答を形成するために、JavaScriptを介して十分な制御を取得する方法を見つけることです。
問題は次のとおりです。ブラウザが401をXMLHttpRequest.onreadystatechangeに渡すのではなく、処理しているようです。ユーザー/パスがサイトにすでに保存されている場合、ChromeとFirefoxは認証ヘッダーのタックをサイレントに処理します。そうでない場合は、通常のログインボックスが表示されます。
Digest Authの不備について警告し、TLSを使用する必要があると言う前に、セキュリティ上のリスクを認識しています。サーバーは非常にリソースが制限された組み込みプラットフォームであり、SSLは実際にはオプションではありません。サーバーは、パブリックインターネットに表示されるようにインデントされていません。したがって、認証は、MitMの実行方法を知っている悪意のある攻撃者ではなく、好奇心の強い無許可の人々が変更を加えることを思いとどまらせるためのものです(マネージャーは善意であるが知識が不十分であると考えてください)。