Это не проблема на стороне клиента и может быть решена только на стороне сервера. Если выполняется запрос AJAX, то злонамеренный пользователь может сделать запрос AJAX напрямую на ваш сервер напрямую через HTTP - это довольно тривиально даже для новичков, использующих что-то вроде WFtech или Curl .
Не для того, чтобы утверждать очевидное, но если пользователь может нажать кнопку несколько раз, то и противник тоже не может определить, кто есть кто. Вы можете сделать какое-то регулирование, чтобы ограничить его до x кликов в y секунд и т. Д., Но затем противник также может ограничить свой коэффициент кликов.