Может ли пользователь отправить ajax-запрос?

пользователь может из браузера (на стороне клиента) выполнить все что угодно касательно аякс запросов,но ответ с вашего сервера он подделать не может,зато на клиенте все ,что угодно может.
чтобы что то посоветовать по защите ,нужно знать больше данных,но факт в том что все что хранится на клиенте =не надежным данным,на которые можно полагаться лишь коственно

Да, пользователь как минимум сможет в консоли нажать "изменить и снова отправить". Шифрование тут никакое не спасет. Вы не сможете никак защитить себя от возможности отправить запрос вручную, любые токены и шифрования будут доступны на клиенте пользователю.

Обычно защищают от неавторизованных пользователей, токеном, который уникален для конкретной сессии. Возможно, вам именно это и требуется.

Может конечно, даже если у вас на сервере скрипта не будет, сам напишет свой и отправит.
Защищаться от таких действий надо на стороне сервера проверки делать, копайте в сторону csrf token, он отсекет запросы с чужих доменов и прочее, но и этого недостаточно будет в вашем случае, нужно еще проверки делать, частота обращений с одной сессии, может какой то ключ кодировать и сверять на сервере. Вариантов на самом деле масса, все сугубо индивидуально и возможно какую то жесткую проверку делать не целесообразно.
Я лично стараюсь избегать подобного, смысла нет костыли делать, когда проще ногу вылечить