Вообщем да, доработал решение, так и сделал: кастомный заголовок в request - в зависимости от него, веб-сервер отдает разный контент: разные версии js кода, html, в зависимости от него разрешается или запрещается доступ к нужному домену.
я бы тоже так сделал, но только все приложение, по сути в статических страницах Angular'а, и при запросах выдается html, т.е. запрос в laravel не приходит вообще, ну т.е. он приходит, но уже после загрузки страницы с приложением на Angular, и если дать этой странице загрузиться - это означает "спалились" )
