Хм… Никогда не задумывался, но навскидку два варианта:
1. Что будет, если прописать путь к сервлету example.com/WEB-INF/myservet? По логике вещей доступа извне к WEB-INF нет, так что юзер получит отлуп.
2. Проверить IP в вызове сервлета — если это не хост сайта, значит, вызов от клиента, return. Криво, конечно.
