只有受信任的网站，而不能通过任何浏览器、Postman等访问的API。

要实现只能通过受信任的网站访问的API，可以通过以下方法进行处理：

1. 在API服务器上设置CORS（跨域资源共享）策略，只允许来自受信任网站的请求。可以在服务器的响应头中添加Access-Control-Allow-Origin字段，值为受信任网站的域名。例如，如果只允许example.com访问API，可以设置为Access-Control-Allow-Origin: https://example.com。

以下是一个使用Node.js和Express框架的示例代码：

const express = require('express');
const app = express();

// 设置CORS策略，只允许example.com访问API
app.use((req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', 'https://example.com');
  next();
});

// 定义API路由
app.get('/api/data', (req, res) => {
  // 处理API请求
  res.json({ message: 'Hello, World!' });
});

// 启动服务器
app.listen(3000, () => {
  console.log('API服务器已启动');
});

在上面的示例中，API服务器只允许来自https://example.com的请求访问。对于其他域的请求，服务器将返回CORS错误。

2. 在受信任的网站上使用JavaScript进行API请求。由于浏览器有同源策略的限制，JavaScript只能从与其所在网页具有相同协议、域名和端口的网站上进行API请求。因此，只有在受信任网站上使用JavaScript才能访问API。

以下是一个使用JavaScript的示例代码：

fetch('https://api.example.com/data')
  .then(response => response.json())
  .then(data => {
    // 处理API响应数据
    console.log(data);
  })
  .catch(error => {
    // 处理API请求错误
    console.error(error);
  });

在上面的示例中，JavaScript使用fetch函数从https://api.example.com/data地址请求API数据。只有在受信任网站上的JavaScript代码才能成功执行该请求，否则将抛出错误。

请注意，这种方法只能限制通过浏览器进行的API请求。对于使用Postman等工具的请求，无法进行同样的限制。但是，由于这些工具通常用于开发和测试目的，而不是在生产环境中使用，因此通常不需要限制它们的访问权限。