Это не так:)
Обычно здесь лучше использовать своего рода IP-фильтр или аналогичный, поэтому приложение может гарантировать, что запрос исходит от известного сервера веб-печати.
Альтернативой заголовкам iv- * является создание какого-либо подписанного токена, например токена JWT, который может быть проверен приложением.