Любой может отправить произвольно сконструированный HTTP-запрос; заголовкам referer или свойствам window.location нельзя доверять (даже если пользователь не может изменить содержимое window.location в своем браузере - по крайней мере, не вызывая навигацию), пользователь всегда может наблюдать, какие запросы генерируются как результат этого значения, а затем отправить HTTP-запрос с измененным).
Если это будет проблемой, то вы, вероятно, захотите использовать цифровые подписи вместе с доменом, чтобы гарантировать, что домен не был изменен (т. Е. Изменение домена без изменения токена подписи сделает запрос недействительным, и генерация подписывающего токена из домена неочевидна и требует некоторого серверного серверного механизма, который вы предоставляете клиентам вашего API).