wenn das Script im FrontEnd „rum lag“ ist das sicher ein Problem. Das Backend ist ja letztlich eine JavaScript Anwendung. Und bei Shopware6 wird die API direkt aus dem Client genutzt. Und es braucht natürlich irgendwo auch einen Token (oder nenne es Passwort mit Zeitbegrenzung).
Und der Token liegt dann irgendwo im Browser.
Zusammenfassend: Keine Panik.