Сергей Соколов

Использовать shared web worker:
при «установке» цвета, в shared worker уходит сообщение, которое принимают все открытые страницы с этого домена в этом же браузере.

Цвет меняется от полученного от воркера сообщения.

Несколько идей, по мере усложнения:

1. Оставить эту затею. Всё, что так или иначе передаётся в браузер, можно получить и в обход замысла разработчика.
   
   
2. Перейти на HTTP POST запрос. При GET-запросе того же URL (открыли в браузере прямо /chat.php – возвращать заглушку, или, лучше, редирект на главную.
   
   
3. При обращении из JS добавлять HTTP-заголовок. В chat.php проверять его наличие.
   
   
4. При загрузке страницы создавать-передавать с сервера уникальный идентификатор сессии. Его использовать в заголовке ajax-запросов и проверять в chat.php
   
   
5. Перейти на WebSocket: всё-таки чат должен быть в реальном времени )
   
   

Всё, что уходит с клиента — подделывается;
Всё, что приходит на сервер — надо проверять.

Посмотрите на JSON Web Token (JWT, произносится "jot" «джёт») — это набор информации, который подписан и зашифрован секретным ключом. Ваш сервер мог бы отправлять в скрипт jwt, содержащий user_id, и подписанный секретным ключом, известным только серверу. Тогда на сервере можно проверить, что назад из AJAX-вызова придёт исходный токен и убедиться в его подлинности.