この質問のパート1はiframeの問題です。domainAからコンテンツを読み込み、domainBから配信し、httpリファラーをdomainAになりすますことができますか?
ドメインBのiframeにdomainA/page.htmlを埋め込むと、httpリファラーは当然domainAになります。
ドメインBのiframeに埋め込まれないようにdomainAを保護するには、以下の疑似JavaScriptが十分ですか? javascriptの妥当性は重要ではなく、ただの概念です。
if(window.top.href != domainA) window.top.href = domainA
第2基本的にドメインを偽装するための任意の他の方法です。私はあなたが(ブラウザを離れるヘッダーにパッチを当てることによって)クライアントベースでクライアント上でhttpのリファラーを偽装することができると思います...しかし、これは大きな問題ではありません。 (この仕組みが素晴らしい反応になる方法を説明していますが)。