tohle nezajistis - neoveris ...
co muzes udelat, je bud vyzadovat predani nejaky jednorazovy hodnoty - neco na zpusob session - kterou web A preda webu BCD jen na zaklade overeni (heslo, secret, PKI) a ten ji preda klientovi.

nebo proste BCD budou pristupovat sami na web A a budou delat jakousi 'proxy' pro klienta ... tj. bez iframe

ale co se https tyce, tak to ti umozni jen overit realnyho klienta, ne web, ze kteryho se tam dostal ... referrer hodnota je sice taky moznost, ale je to moc snadno obejitelny klientem a nejsem si jistej, jestli by neslo zmast klientsky browsery tak, aby se tvarily, ze prisly odjinad ....