Как разрешить открытие роута API только с указанного домена?
У меня есть роут https://my-api-server/data который использует мое приложение на https://example.com для получения данных.
На этом API сервере я поставил Access-Control-Allow-Origin со значением https://example.com и теперь этот роут "встраивается" только по этому домену (origin). Но проблема в том, если я перейду напрямую по адресу https://my-api-server/data, то все данные открыты.
Как сделать чтобы этот CORS срабатывал и по прямому переходу по роуту и работал только если запрос поступает с указанных доменов?