Только по токенам (API-ключам), но это не спасает от самого факта отправки запроса клиентом на сервер.
Access-Control-Allow-Origin использовать не советовал бы, так как есть обходные пути.
Ну есть ещё вариант, настроить шлюз сервера на пропуск запросов только с определенных IP-адресов, но это уже выходит за рамки указанных тегов. :)
