Como tu lo dices, puedes lo mejor es checar el Referrer, pero no es un dato fiable, otra opción es usar sesiones, aunque no tengas que loggear al usuario, si en tu script en el server checas la sesion y sabes que el usuario tiene una sesion valida, si intenta entrar directo al AJAX puedes mostrarle un mensaje de error.

Saludos.