Anladığım kadarıyla burada linki kopyalayıp başka sekmede açıp işlem yapabilmesi problem olarak görünüyor. Bunun içinde cors ve request yapılan bilgileri kontrol eden custom filter attribute yazılabilir. Yani isteklerin sadece uygulama üzerinden olması, diğer yeni sekmede açma postman üzerinden atma gibi işlemlerin kısıtlanması sağlanabilir.