Вы можете проверить заголовок Referer и обслуживать страницу только в том случае, если она соответствует URL-адресу документа, содержащего iframe.Но это помешает только тому, кто случайно просматривает прямой URL.В общем случае ответ отрицательный: вы не можете контролировать, как пользовательский агент будет отображать содержимое.
Если вам действительно нужно это сделать, создайте родительский документ динамически, чтобы он содержал URL-адрес дляiframe со встроенным случайным одноразовым токеном.Пусть содержимое iframe будет сгенерировано скриптом, который проверяет действительность одноразового токена перед доставкой страницы и одновременно удаляет токен из базы данных.Вам придется отключить кеширование содержимого iframe, и вы, скорее всего, столкнетесь с побочными эффектами, связанными с кэшированием, которые время от времени приводят к разрыву страницы для законных пользователей.