Предположим, X.com отправит почтовый запрос на Y.com. Как узнать, что отправителем является X? Без курса строки запроса url.
$ _SERVER ['HTTP_REFERER'] из http://php.net/manual/en/reserved.variables.server.php кажется не ответом. Документация, которую он сам говорит, «на это нельзя доверять».
Должен ли он использовать параметр ключа и секретного ключа?
Отправьте секретное значение через свой запрос, например ключ, который вы можете проверить в своем скрипте на X.com
Y.com:
$secret = 'SECRET_KEY';
X.com:
if(!empty(htmlentities($_POST['secret'])) { if(htmlentities($_POST['secret']) == 'SECRET_KEY') { //Request came from Y.com } }