Частный виджет javascript

Я подумываю о начале нового проекта. Предпосылка проекта - создать виджет на моем сайте, затем скопировать фрагмент javascript на свой сайт и, альт, у вас есть виджет.

Это новый виток существующих сервисов, таких как polldady.com, twiig.com и addthis .com.

Многие из этих сервисов предназначены для публичного доступа. Это означает, что поставщику виджета все равно, что вы отправляете ему данные. Фактически, они поощряют распространение виджета как можно шире и шире.

Однако мои услуги имеют уникальную особенность. В моем случае, хотя виджет будет открыт для широкой публики, мне нужно быть уверенным, что исходящие почтовые запросы поступают только с ожидаемого сайта.

Из-за проблем с xss с этими виджетами javascript мне нужно динамически создавать iframe где будет отображаться мой виджет.

Существует ли модель аутентификации для обработки такого типа взаимодействия?