看起来你遇到的是服务器配置和浏览器行为结合的典型问题，我来逐个帮你拆解解决：

一、单个PDF被下载而非在线预览 #

这个问题核心是服务器返回的Content-Type响应头不正确，或者浏览器默认行为导致的：

• 服务器端配置：
  • 如果是Apache，在PDF目录下的.htaccess文件（没有就新建）添加：

    AddType application/pdf .pdf
    

    或者在httpd.conf的对应目录块里配置这个规则，确保服务器识别PDF文件并返回正确的application/pdf类型，这样浏览器才会尝试在线预览而非下载。
  • 如果是Nginx，在你的server配置块中添加：

    types {
        application/pdf pdf;
    }
    

• 兼容方案：如果服务器配置受限，或者某些浏览器仍强制下载，可以用PDF.js来嵌入PDF。你只需要把PDF.js的静态文件部署到服务器，然后通过它的viewer.html来加载PDF，比如iframe的src设为/pdfjs/web/viewer.html?file=/path/to/your.pdf，这样能在页面里稳定渲染PDF。

二、目录链接被禁止访问 #

服务器默认会关闭目录索引功能，需要手动开启：

• Apache环境：在PDF目录的.htaccess中添加：

  Options +Indexes
  

  同时确保目录的权限设置为755，文件权限为644，保证服务器进程有读取权限。
• Nginx环境：在对应location块中开启自动索引：

  location /your-pdf-directory/ {
      autoindex on;
      autoindex_exact_size off; # 可选，显示文件大小可读性更好
      autoindex_localtime on; # 可选，显示本地时间
  }
  

  同样要检查目录和文件的权限，确保Nginx用户（通常是www-data）能读取。

三、根域名显示登录页面 #

这说明你的网站有身份验证机制，iframe访问根域名时触发了登录流程。解决思路：

• 把PDF目录设置为公开可访问，绕过身份验证。比如在Apache的.htaccess中给PDF目录添加允许所有访问的规则，或者在Nginx的location块中取消验证逻辑。
• 如果必须验证，需要确保iframe请求能携带登录状态的Cookie。注意Cookie的SameSite属性要设为None且开启Secure（仅HTTPS环境），否则跨域或同域iframe可能无法携带Cookie。不过这种方式复杂度较高，优先推荐把PDF目录设为公开。

最后提醒：修改服务器配置后，记得重启Apache/Nginx使配置生效，同时测试不同浏览器的兼容性，确保预览和目录列表都能正常工作。

内容的提问来源于stack exchange，提问作者Sam