Как разрешить вызов API только из одного источника / домена?

Итак, я столкнулся с проблемой. Я строю файл javacript, который добавляет iframe на страницу клиентов (внутри div). Допустим, этот iframe загружается с http://example.com/iframe. Внутренний модуль iframe (для обработки отправки форм; написан весной) имеет несколько конечных точек, таких как http://example.com/url1, http://example.com/url2

Теперь я хочу, чтобы только iframe мог взаимодействовать с бэкэнд-API. В настоящее время я могу использовать API-интерфейсы бэкэнда iframe из localmachine.

Я сталкивался с полем HTTP Referer и первоначально планировал установить фильтр API для API, но позже выяснил, что это можно легко подделать. Получу ли я какой-либо удобный CORS-заголовок CORS для API и установив источник как http://example.com/? Будет ли это работать, и если да, это безопасное и надежное решение? Есть ли лучшие альтернативы?