No me preocupa quién quiera acceder a mi url para acceder a la API; es obvio que si es una API (y aún si no lo fuera) ha de ser totalmente pública y accesible. Lo que me preocupa es a los datos que acceden desde cada web... te hago un poco de resumen:

En mi web los usuarios alojan datos personales (tan personales como quiera). En sus respectivas cuentas tienen muchas opciones de seguridad (privacidad) de manera que sus datos están "a salvo" de la vista de otros usuarios.

El caso está en que si hay una API, esto implica que algún usuario "listillo" (por decirlo así) podría intentar acceder a datos "publicos" de otros usuarios. Por eso implemento ciertos aspectos, tales como que solo se pueden acceder a los datos de usuario si éste lo permite (hay una opción en la web), y demás cosas.

Una de esas medidas consiste en que solo se puede acceder desde las URL que el usuario indique. Esto se hace para controlar desde qué sitios serán visibles los datos de cada usuario.

@kreil: he probado $_SERVER['script_name'] y casi casi me muestra lo que quiero. No obstante he hecho un volcado de $_SERVER y he obtenido varias variables (valga la redundancia) que me podrían ayudar a ello (por ejemplo la IP).

Gracias por contestar a ambos.

Saludos!

EDIT:

Ya está, tengo la manera de solucionarlo...

- Para poder acceder a la API, necesito incluír un "Header set Access-Control-Allow-Origin: http://dominio.com"

Por tanto, si no está en la lista no podrá acceder.

Gracias a todos por contestar!