На беке проверяется реферер, который указан в ajax запросе.
На фронте посетители могут исполнять JS.
Я заметил, что на фронте можно сделать history.pushState() и обратиться к серверу с нужным реферером.
Я знаю, что на этой странице History никогда не понадобится.
History = function() {};
history.__proto__.pushState = function() {};
history.__proto__.replaceState = function() {};
history.__proto__.back = function() {};
history.__proto__.forward = function() {};
history.__proto__.go = function() {};
После этого кода History API восстановить не получится?