Fundamentalmente, no puedes.
Debido a que el usuario tiene todo el código necesario para comunicarse con usted en su dispositivo (es decir, JavaScript), también tiene el mejor Documento de Descripción de Algoritmos posible (es decir, JavaScript) que podría solicitar.
La única forma de proteger el código es ejecutarlo en el servidor ... Pero esto significa que todas las solicitudes deben pasar por el servidor, no solo las "válidas" de su script.
Todo lo que puede hacer es elevar el nivel de complejidad.
Por ejemplo, si tuviera que hash (por ejemplo, SHA256) el contenido del código JavaScript utilizado para generar la solicitud y todos los datos en la solicitud y enviarlos junto con la solicitud, podría tener una validación básica. Esta validación es fácil de descifrar porque todo lo que tiene que hacer un usuario es averiguar cuál es el hash del código JavaScript y hacer el hash ellos mismos, pero lo hace un poco más difícil.
Otra opción, como se menciona en los comentarios, es usar un captcha.
Otra opción es ver los IP o patrones de origen en las solicitudes.
Pero. Fundamentalmente, no hay forma de validar que el usuario está ejecutando su código frente a su propio código en su propio dispositivo.