回答

防止网站被 Nginx 反向代理可以通过多种方法来实现，这些方法主要涉及在服务器端和客户端进行一些配置和检查。以下是一些常见的方法：

1. 检查 HTTP 头信息

在服务器端检查 HTTP 头信息，确保请求不是来自代理服务器。例如，检查 X-Forwarded-For 和 X-Real-IP 头信息。

<?php
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']) || !empty($_SERVER['HTTP_X_REAL_IP'])) {
    // 可能是通过代理访问的，拒绝请求
    header('HTTP/1.1 403 Forbidden');
    exit('Forbidden');
}
?>

2. 使用 HSTS（HTTP Strict Transport Security）

HSTS 是一种安全机制，强制浏览器使用 HTTPS 访问网站。这可以防止中间人攻击和反向代理。

在 Nginx 配置中添加：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

3. 使用 Referer 头信息

检查 Referer 头信息，确保请求来自合法的来源。

<?php
if (!isset($_SERVER['HTTP_REFERER']) || parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST) !== $_SERVER['HTTP_HOST']) {
    // 可能是通过代理访问的，拒绝请求
    header('HTTP/1.1 403 Forbidden');
    exit('Forbidden');
}
?>

4. 使用验证码或登录验证

对于敏感操作，要求用户输入验证码或进行登录验证，这可以防止自动化工具和恶意代理访问。

5. 使用 IP 白名单

在服务器端配置 IP 白名单，只允许特定的 IP 地址访问网站。

在 Nginx 配置中添加：

location / {
    allow 192.168.1.1;  # 允许的 IP 地址
    deny all;           # 拒绝其他所有 IP
    # 其他配置
}

6. 使用自定义 HTTP 头

在服务器端添加自定义 HTTP 头，并在客户端检查这些头信息。

在 Nginx 配置中添加：

add_header X-Custom-Header "MyCustomValue";

在客户端检查：

if (response.headers.get('X-Custom-Header') !== 'MyCustomValue') {
    // 可能是通过代理访问的，拒绝请求
    alert('Access Denied');
}

7. 使用 SSL 证书验证

在服务器端配置 SSL 证书验证，确保请求来自合法的客户端。

在 Nginx 配置中添加：

ssl_verify_client on;
ssl_client_certificate /path/to/ca.crt;

8. 使用 Web Application Firewall (WAF)

使用 WAF 可以检测和阻止恶意请求，包括来自反向代理的请求。

9. 定期检查日志

定期检查服务器日志，查找异常请求和访问模式，及时发现和阻止代理访问。

通过这些方法，可以有效地防止网站被 Nginx 反向代理。根据具体情况，可以选择一种或多种方法结合使用。