пользователь может из браузера (на стороне клиента) выполнить все что угодно касательно аякс запросов,но ответ с вашего сервера он подделать не может,зато на клиенте все ,что угодно может.
чтобы что то посоветовать по защите ,нужно знать больше данных,но факт в том что все что хранится на клиенте =не надежным данным,на которые можно полагаться лишь коственно
