Могу ли я ограничить доступ родителя (только html) к моему дочернему iframe (PHP), который находится в другом домене?

referer настолько близко, насколько это возможно, прежде чем попасть на действительно сложную территорию.

Хотя его можно подделать, его может подделать только клиент. Сторонний веб-сайт не мог заставить клиента подделать его.

Тем не менее, referer не является обязательным. Браузеры не обязаны его отправлять, и они, как правило, этого не делают при довольно многих обстоятельствах (например, когда ссылающийся документ был доставлен через HTTPS).

Следующее может сработать…

1. iframe.example.com использует код на стороне сервера для запроса токена от framed.example.net, запрос включает IP-адрес браузера и пароль, разрешающий iframe.example.com для доступа к framed.example.net.
2. framed.example.net генерирует токен и передает его iframe.example.com, регистрируя его по IP-адресу браузера.
3. iframe.example.com создает URI с токеном в строке запроса и использует его в качестве src для iframe.
4. framed.example.net проверяет, что токен существует и IP-адрес в записи совпадает с IP-адресом, с которого пришел запрос (браузер)

Это будет генерировать ложные отрицательные значения, когда браузер не имеет согласованного IP-адреса (например, когда он находится за группой прокси-серверов, что, насколько я помню, довольно распространено в сотовой широкополосной связи), поэтому я бы не рекомендовал это.