jetzt hab ichs: Sie machens mit dem Image Trick:

JS:

function ajaxTest(){
$('extern').innerHTML="nix succ";

var i2=new Image(1,1);
  i2.src='http://www.nichtlocalhost.de/testextern.php';
  i2.onload=function() { alert("jeladen"); return; }
}

PHP:
<?php

#mache irgendwas mit den Paramtern...

#schreibe ein Bild:
$file = file ( "testextern.gif");
print $file[0];

?>

wobei die testextern.php ein GIF zurückgeben muss, aber halt Parameter verarbeiten kann.

Soviel zu Sicherheit!

Viele Grüße & Danke
Michael