Нет никакого смысла привязываться к домену вообще.
Помимо очевидной возможности отправить что угодно в качестве реферера если злоумышленник захочет, есть еще момент с тем что ваш виджет могут передать разработчику для встраивания на сайт и он будет пытаться тестировать/встаивать его на локалке с большой долей вероятности. Если отдавать форму по рефереру такой возможности уже не будет.
Защищаться надо на уровне сервера, защита от спама запросами и всякое такое.
На клиенте это всё бесполезно, какое JWT вы там хотите если все данные в открытую лежат изначально? Вам просто нужен любой удобный идентификатор по которому вы поймете что запрос идёт к определенному проекту в системе. Логично что это должен быть не просто порядковый номер, а что-то буквоцифренное дабы не было возможности перебором проспамить всех ваших пользователей.
