Redirect 禁止使用nginx访问直接页面，只能通过iframe访问

我想避免通过nginx直接访问页面

我想这个页面只能通过同一个域上的iframe访问

可能吗

---

谢谢。

当页面作为iframe的内容加载时，请求的

Referer

设置为包含页面，因此您可以通过检查

Referer

标题来检查iframe内容是否实际加载到iframe中

---

当然，该头可以很容易地被欺骗，但可能已经足够了，并且不需要依赖运行客户端的Javascript。

当一个页面作为iframe的内容加载时，请求的

Referer

被设置为包含页面，因此，您可以通过检查

Referer

标题来检查iframe内容是否实际加载到iframe中

---

当然，这个标题很容易被欺骗，但可能已经足够了，并且不需要依赖于运行客户端的Javascript。

您可以设置各种限制，但攻击者只要知道一点他们在做什么，就几乎可以击败这些限制——这通常会在您描述的浪费时间的情况下努力确保访问的安全。如果您的意图是禁止数据挖掘，那么您可能能够以不同的方式实现您的目标，例如通过速率限制（不是带宽，而是在单个用户的前几次检索之后在检索数据之前故意延迟）。您可以设置各种限制，但攻击者只知道一点他们在做什么，几乎可以击败所有这些限制。这通常会在您描述为浪费时间的情况下努力确保访问安全。如果您的意图是禁止数据挖掘，那么您可能能够以不同的方式实现您的目标，例如通过速率限制（不是带宽，而是在单个用户的前几次检索之后在检索数据之前故意延迟）。这只是为了美观。我将对这两台服务器进行安全保护。只是，对于直接访问框架页面的用户来说，可以看到前端网站在正常使用中未创建的正常页面。@Michée我现在很困惑，这意味着我的建议是否可用？是的，你的建议非常有效。谢谢它比javascipt解决方案更干净、更高效。但是，当然，我不会将我的安全性建立在这个基础上。这只是为了设计。啊，好吧，太好了：）祝你的项目好运。这只是为了美观。我将对这两台服务器进行安全保护。只是，对于直接访问框架页面的用户来说，可以看到前端网站在正常使用中未创建的正常页面。@Michée我现在很困惑，这意味着我的建议是否可用？是的，你的建议非常有效。谢谢它比javascipt解决方案更干净、更高效。但是，当然，我不会将我的安全性建立在这个基础上。这只是为了设计。啊，好吧，太好了：）祝你的项目好运