Собственно вопрос в заголовке.
Проект собран под vite.js .env файл лежит в корне проекта (там же где и vite.config.js)
Значение ключа получаю через import.meta.env.VITE_SECRET.
Насколько это безопасно, есть ли вариант засветит ключ на клиенте, например через консоль браузера?
Если это фронтенд-приложение - то оно целиком публично, в нём нельзя ничего спрятать. Такие места, где используется переменные из env - считай что просто автозаменой при сборке подставляются значения.
