Если вызов выполняется в JavaScript (т. Е. На клиенте), вы действительно ничего не сможете сделать, чтобы определенно помешать кому-либо симулировать запрос из index.htm, даже если вы проверите заголовок Referer
(sic) .
Если запрос сделан на стороне сервера, вы можете использовать какой-то ключ.
Конечно, вы также можете сгенерировать ключ и на стороне клиента, но любой мера безопасности может имитировать любой, кто имитирует запрос из index.htm.