Определить с какой страницы запрашивается ресурс. Возможно?

omg, три звезды... можно. http заголовок referer.

Referer. Не не особо надёжно в некоторых случаях. Попроси гет параметром представляться.

Только заголовки, сам подумай, к тебе приходит пользователь, что ты можешь с него взять?

Хотя если у тебя есть доступ к этим доменам с которых к тебе идут, то пили свои и читай из page[part]

подтягивается xml'ка

Его флешем же насколько я понимаю. Ничто не мешает к запросу прикрутить параметр с доменом на котором всё запущено.

Опиши подробней, пожалуйста, интересный вопрос.

и не работает для https

который спокойно можно подменить, збс

Самый правильный способ - сделать так, чтобы флэшка сама дергала xml, передавая при запросе нужный параметр отдельным заголовком.

могу предложить такую схему

1) У каждого партнерского сайта есть приватный ключ, и на центральном сайте партнерки (ЦСП) в табличке хранится соответствие между UUID priveteKey и UUID/URL partnerSiteURL
2) Ты на ЦСП предоставляешь, апи вроде UUID getTicket(UUID privateKey, UUID/URL partnerSiteURL). Оно выдает бесконечное количество одноразовых тикетов. У тебя сохраняется соответствие между тикетом и приватным ключом.
3) Партнер отдает клиенту HTML с внедренным в него тикетом и ифреймом.
4) На клиенте после подгрузки страницы делается запрос на ЦСП с указанным тикетом и просьбой дать контент, апи вроде XML getContent(UUID ticket, UUID/URL partnerSiteURL)
5) На центральном сайте партнерки проверяется соответствие между ticket и siteURL, тикет протухает, контент отдается
6) Можно тикеты сделать не одноразовыми, а один раз на сессию (чтобы снизить нагрузку). Или двойная (как у ВКонтакте): один тикет на сессию, и один тикет одноразовый на каждый запрос (чтобы повысить безопасность). Или еще как-нибудь, любые извращения за ваши серверные ресурсы :3

Была бы одна я бы так и сделал. Но ты правильно посчитал - их три.

Все верно. Но я вообще не разбираюсь во флэш и не уверен что от этого флэша есть исходники.

Да, думал об этом. На самом деле вообще достаточно набора однорзавых ключей. Даже не нужен URL в этом случае. Но это сложно для партнера. Целый огород городить. Да и такая надежность не нужна особо. Я вообще не уверен что запрещать вставлять этот объект на другие сайты правильно - это тупо калькулятор для расчета расхода строительного материала да еще и с рекламой производителя. Ну то-есть там в углу логотип болтается. Зачем запрещать его встраивание кому-то? Но вот клиент возжелал...

Но это сложно для партнера. Целый огород городить.

а ты ему напиши уже готовую болванку на похапэ, чтобы ему осталось только

<html>
...
<div>
<?php
require_once("я_и_моя_сраная_кошка.phplib"); 
global $CONSUMPTION_CALCULATOR_PASSWORD = "мой пароль, ёпта";
consumption_calculator();
?>
</div>
...
</html>

пароль и файл «я и моя кошка» он получит сразу после регистрации на вашем Центральном Сайте.

для казуалов написать, куда файл класть в случае вордпресса и джумлы. Остальные сами разберутся, куда класть.

сложно для партнера
сложно

безопасность штука непростая :3

Ну там вот такой простой код:

<object type="application/x-shockwave-flash" align="center" data="http://site.ru/flash/roof-calculator/ru/RoofCalculator.swf" width="940" height="590" id="RoofCalculator" style="visibility: visible;">
            <param name="bgcolor" value="#FFFFFF">
            <param name="scale" value="noscale">
            <param name="wmode" value="transparent">
            <param name="flashvars" value="xml=http://site.ru/flash/roof-calculator/ru/xml/dataxml.php">
        </object>

Когда выдаёшь этот кусок хтмла партнёрам дописывай к урлам гет параметр с их доменом или другим идентификатором.

Ну стянут с их сайта. В чем проблема-то? С их идентификатором.

Что тут за извращения?

1. Взять рефёрер. 2. Сравнить рефёрер. 3. Посмотреть, действительно-ли по этому айпи-адресу, откуда запросили, сидит этот домен.