Wie schützt man sich vor so etwas? Stell ich mir problematisch vor, da der JS-Quellcode ja nunmal unweigerlich "offen" liegt. Man muss sicher im serverseitigen Skript irgendeine Überprüfung einbauen - aber WIE?
Die Frage ist warum?
Über Ajax sollte der Besucher der Seite nicht mehr bekommen, als ohne Ajax.
Wenn du durch Manipulation des Requests beliebige Daten abfragen kannst, kannst du das in einer Umgebung ohne Ajax mit derselben Logik auch.