Cita:
Iniciado por pateketrueke 
claro, entiendo lo que dices... pero, en dado caso ¿quien va a adivinar el referer exacto de entrada a tu aplicación?
por eso decía que al igual que el referer -
que es un cabecera- puedes crear otra con un valor que solo tu vas a saber, y obviamente solo el script que envie dicha cabecera podrá entrar a tu sistema...
¿si se entiende lo que quiero decir?
No sé como aplicar el ejemplo al caso práctico del login.
Durante toda la navegación de la web en la cabecera está el formulario de login, si el usuario rellena los datos y pulsa el boton ENTRAR, como envías la cabecera personalizada? esa cabecera personalizada no la puede ver el usuario de ninguna manera?
Saludos!