А что, если при загрузке вашей страницы с js просто создавать какую-то произвольную строку в php, сохранять ее в сессию, а в форме, которую вы js'ом отправляете, просто сделать скрытое поле input type=hidden, где будет наша срока, при отправке формы эти значения просто проверяются, если они равны, значит post с вашего сервера, а если строки не совпадают или вообще нету, то понятно, что не с вашего. Так же, после обработки поста можно эту строку обновить, чтобы она каждый раз новая была....я конечно хз, я не гуру в безопасности :D