現在Webの学習のため、Next.js・NestJS・GCPを扱ったWebサービスを開発しており、
データベースサーバーへのアクセス制限を考えております。
クラウドサービスとAPI連携する際、リクエストヘッダーに「X-API-KEY」などといった独自ヘッダーを設定し、
データベースの取得・更新をする場合がありますが、
どのように独自ヘッダーをHTTP通信上から隠蔽しているのでしょうか?
独自でX-API-KEYを設定したところ、デベロッパーツールのネットワークタブから確認でき、
環境変数でキーを設定してもセキュリティ上問題があることに気づきました。
HTTPリクエストヘッダーの隠蔽方法、またはデータベースサーバーへのアクセス制限方法についてご教示いただけましたら嬉しいです。
よろしくお願いいたします。