通过 nginx 的 `location = /path` 精确匹配和 `return 404` 指令，可限制仅允许 `/blog`、`/contact`、`/faq` 等白名单路径访问，其他路径（如 `/test`）直接返回标准 404 页面，同时保留基础认证等通用逻辑。

要实现“仅放行特定路径（如 /blog、/contact、/faq），其余所有未匹配路径统一返回 404”，关键在于优先级控制与精确匹配。Nginx 的 location 匹配遵循严格优先级规则：=（精确匹配） > ^~（前缀匹配且不继续正则） > 正则匹配 > 普通前缀匹配。因此，我们应将所有需拒绝的路径用 location = 显式声明，并置于通用 location / 之前。

以下是推荐配置方案（适用于少量白名单路径）：

# 先定义所有需返回 404 的非法路径（支持任意数量，但建议 ≤50 条以保可维护性）
location = /test     { return 404; }
location = /admin    { return 404; }
location = /tmp      { return 404; }
# ... 其他禁止路径

# 白名单路径：显式允许并交由 PHP 处理（或静态服务）
location = /blog     { try_files $uri $uri/ /index.php; }
location = /contact  { try_files $uri $uri/ /index.php; }
location = /faq      { try_files $uri $uri/ /index.php; }

# 默认兜底：匹配所有未被上面精确 location 捕获的请求
location / {
    auth_basic "Restricted Content";
    auth_basic_user_file /etc/nginx/.htpasswd;
    # 注意：此处不再使用 try_files 跳转 index.php，
    # 因为只有白名单路径才应进入应用逻辑
    return 404;
}

✅ 优势说明：

• 所有 location = /xxx 均为精确匹配，性能极高；
• 认证逻辑统一收口在 location / 中，避免重复配置；
• 未列在白名单中的路径（如 /test）由独立 location = /test 直接拦截并返回 404，无需进入后续处理流程；
• location / 作为兜底，确保无匹配时也返回 404，增强安全性。

⚠️ 注意事项：

• 不要将 return 404 写在 location / 内部却仍保留 try_files … /index.php —— 这会导致非法路径仍被错误路由至 index.php；
• 若禁止路径数量极多（如上千条），应改用 map 指令 + 变量判断（参考 Nginx 官方 map 模块文档），避免配置臃肿；
• 修改后务必执行 nginx -t 测试语法，并 nginx -s reload 生效配置；
• 确保你的 error_page 404 已正确指向自定义 404 页面（如 error_page 404 /404.html;），否则将返回默认 Nginx 404 响应。

总结：通过合理利用 location = 的高优先级特性，配合清晰的路径分类策略，即可在不依赖后端的情况下，由 Nginx 层面高效、安全地实现 URL 白名单访问控制。