<div dir="auto">+1 Francis</div><div dir="auto"><br></div><div dir="auto">Saint, I wonder if this might satisfy your ask indirectly.</div><div dir="auto"><br></div><div dir="auto">Assign a secondary ip address to a nic, and redirect to that ip for your iframe processing.</div><div dir="auto"><br></div><div dir="auto">Then you can apply a more specific ACL at host or nginx level to control iframe reachability, or even use a ip address thats only reachable to your internal users.</div><div dir="auto"><br></div><div dir="auto">The more correct way of doing all of this is through secure user session management with authentication and authorization.</div><div dir="auto"><br></div><div dir="auto">Good luck</div><div dir="auto">-Payam</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 20, 2023 at 4:35 AM Francis Daly <<a href="mailto:francis@daoine.org">francis@daoine.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">On Sun, Feb 19, 2023 at 09:33:46AM -0500, Saint Michael wrote:<br>
<br>
Hi there,<br>
<br>
> it does not work:<br>
> 404 Not Found<br>
<br>
It appears that you are not asking "how do I ensure that a location{}<br>
can only be used for internal redirects/requests".<br>
<br>
> in the public location,  /carrier_00163e1bb23c, I have<br>
> <iframe src="/asrxxxx"><br>
>     Your browser does not support iframes<br>
> </iframe><br>
<br>
> so how do I block the public from looking at my HTML and executing directly<br>
> /asrxxxx?<br>
<br>
You don't.<br>
<br>
> Is this a bug?<br>
<br>
It's a misunderstanding on your part of how the requests from the browser<br>
to the server work.<br>
<br>
Right now, your question is "how do I block people from accessing a<br>
URL, while also allowing them to access the URL". And the answer is<br>
"you can't, reliably".<br>
<br>
The thing that you want to achieve, can't be achieved using the plan<br>
that you are currently following.<br>
<br>
In the tradition of "the XY problem": if you will describe the thing<br>
that you want to achieve, instead of just a part of the current thing<br>
that you are doing to attempt to achieve it, then it may be that someone<br>
can suggest a way to achieve it.<br>
<br>
I do see a later mail that has some more details; but on first glance<br>
it seems to be describing your current solution, rather than the problem.<br>
<br>
Cheers,<br>
<br>
        f<br>
-- <br>
Francis Daly        <a href="mailto:francis@daoine.org" target="_blank">francis@daoine.org</a><br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="https://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">https://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Payam Tarverdyan Chychi<br></div></div>