Боюсь, что невозможно запретить пользователям получать ссылку из вашего iframe, потому что они всегда могут просматривать ссылку через инструмент разработчика.
Но вы могли бы создать правило перезаписи URL, чтобы строго ограничить sr. c ссылку можно получить только с вашего сайта, проверив заголовок HTTP_REFERR.
Если домен реферера неверный или нулевой, ваше правило заблокирует его.