Я вижу в логах запросы из неизвестных источников.
Итак, как я могу предотвратить все запросы, кроме тех, которые поступают из моего домена appspot?
Примечание: это на appengine, которым с моей стороны нет сервера, вы просто загружаете код своего приложения, а они позаботятся обо всем остальном.
Имея контроль над доступом к вашему приложению App Engine, я рекомендую вам настроить брандмауэр(s) и применять правила и приоритет, чтобы структурировать его как упорядоченный список. Ты мог разрешить трафик только из определенного сервиса путем создания правил брандмауэра для отклонения всех запросов, кроме тех, которые пересылаются вашей конкретной службой.
Вы можете использовать заголовок запроса X-Appengine-Inbound-Appid для идентификации приложения App Engine, отправляющего запрос вашему приложению App Engine. Сервис URLFetch добавляет к запросу неизменяемый заголовок, чтобы вы могли безопасно получить идентификатор приложения.