Le impostazioni del tema sono disponibili nell’app JS del cliente, quindi ciò significa che qualsiasi visitatore del tuo sito potrebbe controllare il codice sorgente per vederle. Probabilmente non vorresti inserire lì una chiave API.
L’eccezione riguarda le chiavi API che sono progettate per l’uso lato client e quindi non rappresentano un problema se qualcuno ne ottiene l’accesso (ad esempio Giphy, incorporamenti di Google Maps, ecc.)