Я не думаю, что это действительно возможно без какой-либо проверки или защиты на стороне сервера.Весь смысл ajax-запроса заключается в том, что это клиентская сторона, это означает, что пользователь может позвонить и увидеть вызов, выполняемый в каком-то инспекторе сети.
Если вы можете изменить код на стороне сервера, что-то вроде строкииз CSRF Token будет лучшим способом.
Альтернативно и менее безопасным, но вы можете добавить режим ожидания к методу или функции, вызываемой на сервере, чтобы он не мог повторно опрашиваться.