Какие best practices по защите API?

Я так понимаю у вас нечто вроде формы обратной связи (упрощенно), вы хотите удостовериться, что данные к вашему сервису приходят именно с этого сайта.

Да, примерно так по сути.

Какие best practices по защите API?

xmoonlight он предложил передавать данные через сервер, т.е. не напрямую из браузера. Мне показалось это очевидным, поэтому я подумал, что он имел в виду это...

Philipp , я правильно понял Вашу идею? :)

Какие best practices по защите API?

А длительность сессии будет проверяться тем же сервером, на котором хостится сайт с формой? Тогда не проще ли этому серверу самому отправить данные (с токеном), как предложил Philipp

P.S.

JS в браузере - это только 1.

В браузере, но не обязательно с помощью JS, просто обычная форма с адресом API в action.

Какие best practices по защите API?

Однако такие мелочи подделываются на раз.

Ну да, согласен.

Можно ли купить AppleCare в американском AppStore для "русского" MBP?

DevMan: Совсем забыл отписаться - действительно, "не играет". Т.е. не имеет значения в каком магазине или в какой стране куплена расширенная гарантия.

Можно ли купить AppleCare в американском AppStore для "русского" MBP?

Ну год еще не прошел, а подходит к концу, т.е. still covered. Спасибо, поинтересуюсь и сообщу что в итоге.

P.S. А что означает "рояля не имело"?