Estoy llamando al código php de ajax así:

ajaxRequest.open("GET", "func.php" + queryString, true);

Ya que es una solicitud de obtención, cualquiera puede verla simplemente examinando los encabezados. Los datos que se están pasando no son confidenciales, pero podría ser objeto de abuso ya que también es trivial obtener los nombres de los parámetros.

¿Cómo evito el acceso directo ahttp: //mysite/func.php ¿Sin embargo, permitir que mi página ajax acceda a ella?

También he probado la solución.publicado aquí pero no me funciona, siempre aparece el mensaje "Acceso directo no premitado".