vs02

Ну например так

let images = document.getElementsByClassName('item-wrapper');
for (let i=0; i<images.length; i++) {
    images[i].addEventListener('click', (e) => {
        console.log(e.target.src);
    })
}

Ну по умолчанию, браузер не даст сделать ajax запрос с другого домена на ваш сервер, если сервер не отдает специальный заголовок, который разрешает кроссдоменные ajax запросы. То есть в самом простом случае можно ограничиться проверкой на сервере на предмет того что к вам пришел именно ajax запрос, это далеко не 100% защита, но он большинство нежелательных запросов ограничит. Еще csrf токены неплохой вариант