.htcaccess habe ich mi schon mal angeschaut. Ich weiss aber nicht, WIE GENAU, ich hier den Aufruf per Adresszeile verhindern kann...weiss das vielleicht auch noch Jemand?

Du hast keinen Einfluss darauf, ob eine Adresse aus einen Location Bar im Browser, den Bookmarks, oder aus einem Link im Dokument oder von einem Server via HTTP Request stammt.

Wenn Resourcen nicht verfügbar sein sollen, dann stelle sie nicht via url adressierbar ins Netz
 = Verschiebe Sie ausserhalb von http-root,
   Gib nur einen indirekten Zugang über ein Skript
   Das bei dieser Gelegenheit die Credentials prüft
   Hier sind htaccess oder Sessions mit ID denkbar.

Wenn Ressourcen nur über Credentials verfügbar sein sollen aber über eine statische URL pro Ressource erreichbar:
 = Schiebe die Ressourcen in einen Ordner innerhalb http-root
   Schütze das Verzeichnis mit .htaccess

mfg Beat