Ja, das war meine Frage, ob es um den Link geht, der von dem JS aufgerufen wird oder um den, den er hinschreibt wenn kein JS aktiviert ist.

Bei dem Link könnte ein Captcha helfen.

Aber ich glaube nicht, dass es für die AJAX-Seite eine 100%ige Lösung gibt. Du könntest höchstens ein möglichst kompliziertes Anmeldesystem (ginge dann wieder in Richtung Session) erstellen, wobei auch das natürlich knackbar wäre. Ist halt die Frage wie viel es dir bzw. dem Angreifer Wert ist.