JavaScript läuft auf dem Client!
Der Zugriff des Clients auf eure AS/400 sollte da eher eingeschränkt sein.

Ajax ist ja nun auch JavaScript und somit erübrigt sich die Frage.
https://de.wikipedia.org/wiki/Ajax_(Programmierung)

Das Problem mit SQL's oder ähnlichen Aufrufen direkt aus dem Client ist ein starkes Angriffsziel für Hacker.
Damit könnte dann direkt bis zur AS/400 durchgegriffen werden, wenn per Javascript Schnittstellen offengelegt werden. Schließlich kann ich mir ja z.B. im Internet-Explorer den Seitenaufbau mit F12 schön ansehen und eben selber eingreifen.
Da ist es schon besser, Zugriffe auf Hintergrundsysteme durch gekapselte Funktionen zu verbergen.