Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).
Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.
Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.
Это пример до ужаса высосаный из пальца.
Про куку хранящуюсь в браузере я уже писал выше. Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.
Тут придраться можно к чему угодно, когда дело касается безопасности.
Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети. Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.
Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.
По мне, это излишняя предосторожность.