Dans le genre, on m'avait proposé une idée sur mastodon s'inspirant de ça: https://fxgn.dev/blog/anubis/ et qui ressemble beaucoup à ta solution @SebSauvage (Dans l'exemple, c'est avec un caddy)

domain.com {
    # Match all requests without a "verified" cookie"
    @unverified not header Cookie *verified*
# Serve them a JS page that sets the cookie
handle @unverified {
    header Content-Type text/html
    respond <<EOF
        <script>
        document.cookie = 'verified=1; Path=/;';
        window.location.reload();
        </script>
    EOF 418
}

# Proxy all other requests normally
reverse_proxy localhost:3001
}

En gros, le serveur vérifie si il y a un cookie

1. oui ? ➜ redirect vers la page demandée
2. non ? ➜ JS crée le cookie et reload

Du coup, les bots n'exécutant pas le JS ne créent pas le cookie et n'arrivent jamais à la page.

Pas testé mais pas con... et sans intervention de l'utilisateur... à voir ?