Existem algumas soluções técnicas para isso:
- Peça-lhes que apontem o domínio para o servidor e configure o servidor para aceitar tais solicitações; essa é uma alteração simples de DNS, mas significa que o domínio inteiro agora é executado em seu servidor.
- Peça-lhes que definam um proxy reverso que reescreva as solicitações desejadas no seu domínio. O Apache, por exemplo, tem módulos para isso (veja link ), incluindo filtros para reescrever URLs dentro os documentos que você atende; isso é meio chato de configurar, e não funciona para tudo, mas pode valer a pena dar uma chance - se funcionar, seu aplicativo será executado de maneira transparente sob o domínio deles, servido por meio de seus servidores, mas funcionando seus próprios servidores. A ideia básica é que o servidor corresponda as URLs de solicitação a um determinado padrão, encaminha-as para o servidor e, em seguida, altera as URLs na resposta recebida antes de enviá-las de volta ao cliente. (Basicamente, esta é a sua solução router.php, apenas no nível do servidor da Web, portanto, com menos problemas).
- Peça-lhes para colocarem um iframe na sua página, onde apenas colocam a sua página. Se o iframe tiver 100% de largura e altura, o usuário não verá a diferença (exceto que a navegação não altera o URL visível). Esta é de longe a solução mais fácil.
- Divida seu aplicativo em uma camada de serviço e um front-end. Entregue o front end, mas mantenha a camada de serviço no seu servidor. Desta forma, eles só podem fazer uso do seu serviço através do seu servidor; o front-end sem a camada de serviço é relativamente inútil.
- Instale e mantenha um servidor (físico ou virtual) em sua rede que executa seu aplicativo; configurá-lo para que eles não possam acessá-lo (senhas strongs, criptografia de disco inteiro, etc.).
Se você absolutamente não pode confiar que eles não sejam criminosos, então talvez você deva recusar a oferta e fazer seu dinheiro em outro lugar.