Может конечно, даже если у вас на сервере скрипта не будет, сам напишет свой и отправит.
Защищаться от таких действий надо на стороне сервера проверки делать, копайте в сторону csrf token, он отсекет запросы с чужих доменов и прочее, но и этого недостаточно будет в вашем случае, нужно еще проверки делать, частота обращений с одной сессии, может какой то ключ кодировать и сверять на сервере. Вариантов на самом деле масса, все сугубо индивидуально и возможно какую то жесткую проверку делать не целесообразно.
Я лично стараюсь избегать подобного, смысла нет костыли делать, когда проще ногу вылечить