Я сам не пробовал, но вы можете попробовать следующее .. (Я почти уверен, что получу некоторую обратную связь)
На стороне сервера создайте временную метку.Используя HMAC-SHA256, сгенерируйте ключ для этой метки времени, используя пароль, и отправьте сгенерированный ключ и метку времени в html.
Когда вы делаете вызов AJAX для веб-службы (при условии, что это другой сервер)) отправьте ключ и отметку времени вместе с запросом.Проверьте, находится ли временная метка в пределах 5-15 минут. Если это так, сделайте HMAC-SHA256 с тем же паролем и ключом, если сгенерированный ключ такой же.Также на стороне клиента вы должны будете проверить, является ли ваша временная метка еще действительной, прежде чем совершать вызов.
Вы можете сгенерировать ключ, используя следующий URL. http://buchananweb.co.uk/security01.aspx