Niektóre obserwacje
Problemem jest to, że trzeba, aby użytku każdym tego kodu, to musi być czytelne przez co proces używa go (zazwyczaj serwer www). Sam ten fakt sprawia, że uzyskanie dodatkowych zabezpieczeń jest niepraktyczne, o ile nie można zastosować przetwarzania oczekującego w trybie offline.
Zasada # 1 - trzymać ją z DocumentRoot (chyba powinno być tam)
Zasada # 2 - uruchomić własny serwer (lub VPS) i trzymać innych ludzi poza nim
Reguła # 3 - zamknij skrzynię mocno - port 22 (z określonych adresów IP) i 80/443 z globalnego
PS. JavaScript jest wykonywany w przeglądarce internetowej - niewiele można zrobić, aby go zabezpieczyć (poza zaciemnieniem), ani nie musisz (np. NIE ufanie zewnętrznym danym jest regułą # 0).
Czym jest ta "dziewczyna", o której mówisz? – Hello71