quizas una chapuza pero...

podrias intentar lo siguiente:

Supongo que paginaajax.php es la página que devuelve los datos.

Sabiendo esto supongamos estas 2 páginas.

pagina.php realiza una llamada a paginaajax.php

y

pagina.php muestra los datos devueltos por paginaajax.php

---- seguridad ----
pagina.php al ser cargada crea una variable de sesión.

Ej: $_SESSION["nx00"] = "ok";

despues se realiza la llamada a paginaajax.php

En paginaajax.php se comprueba que existe $_SESSION["nx00"] y que vale "ok".
Se devuelven los datos.

pagina.php muestra los datos recibidos y borra $_SESSION["nx00"];

-----
Entonces si alguien indica la url completa hacia paginaajax.php esta no devuelve nada porque no existe $_SESSION["nx00"].

Podria valerte esto ?