Например: со страницы сайта отправляется запрос на другой URL. Как узнать URL, откуда был отправлен запрос, для того чтобы нельзя было подделать запрос?
Опираясь просто на данные запроса достоверной информации о источнике не получить. Заголовки запроса формируются запрашивающей стороной, соответственно в них может быть что угодно (в том числе и IP-адрес). Так что нужны дополнительные меры. Сейчас практически стандартом стало соединение только по https и использование токенов авторизации, которые обновляются с нужной вам частотой (обычно при каждом запросе).
