http://www.hash-c.co.jp/info/20091124.html

解決策・回避策
(中略）
具体的には、以下のような実装方式が考えられる。

* 認証には、パスワード認証（推奨）あるいはFOMAカード製造番号によるかんたんログインを使用する
* セッションIDをURL埋め込みあるいはCookieに保持するセッション管理方式を用いる
* HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする

$_SERVER['HTTP_HOST']チェックかな？
フレームワーク系だと、Hostチェックあるいは最低限リクエストHost情報が、どこかに既に入っててもおかしくないんですが・・・

サーバー情報および実行時の環境情報
PHPマニュアル:apache_request_headers:すべての HTTP リクエストヘッダを取得する