Никак, если файл можно вытащить ajax'ом, то можно открыть и напрямую.
Разве что проверять на стороне сервера специфичные для ajax заголовки, типа Origin. И заодно проверить, чтобы совпадало с хостом (вдруг ajax или форма на эту страницу отправлены откуда-то ещё).
Чтобы заголовки проверить, PHP не нужен, достаточно правил в .htaccess или конфиге nginx (смотря что обслуживает статику).
Только вот интересно, от чего именно стараетесь защититься? Любой запрос может быть просмотрен, так что защита поможет только от совсем новичка.
