А чтобы с формы на чужом сайте нельзя было отправить на site2, достаточно кофигурировать запрос любым кастомным заголовком, и проверять на сервере его, тогда еще понадобится дополнительно заголовок доступа
Access-Control-Allow-Headers, в jquery вроде по умолчанию добавляется такой заголовок "X-Requested-With: XMLHttpRequest" в запрос.