Как защитить SPA от парсинга?

Не бывает "ломанного" Selenium. И никакого "эмулятора браузера" там нет, там самый настоящий браузер, "web driver". Бывает undetected web driver - тот самый браузер, которому патчат те части, которые выдают его запуск в headless-режиме.

Надо понимать, что Selenium изначально создавался вовсе не для того, чтобы обманывать сайты. Его делали для автоматизированного тестирования сайтов при их разработке.

Надёжно отличить curl и postman нельзя вообще никак, потому что эти инструменты делают http-запросы в полно соответствии со стандартами, и если указать там все нужные заголовки по аналогии с браузером, то отличить их от браузера будет нельзя.

Даже Cloudflare ломают, тем более что и Cloudflare работает на статистике запросов, потом показывает капчу и в случае её прохождения выставляется кука, с которой всё опять работает, в том числе для автоматизированной обработки.

Так что сделайте что-нибудь, чтобы это было не особо легко, но слишком глубоко заморачиваться не имеет смысла.

Если ваш бизнес может прогореть от того, что кто-то спарсит ваши данные, значит, это была изначально плохая бизнес-идея.

Как уже было сказано в комментариях и ответах, спарсить можно все, что пользователь видит в браузере, вопрос только в том, насколько это сложно будет сделать. Если вам нужен SPA, который будет сложно парсить, посмотрите в сторону SPA на чистом Blazor-WebAssembly

Andrei SunnyPh, а почему решили что blazor сложнее парсить чем nuxt например?

Valeriu Vodnicear, видимо потому что wasm типа сложнее обфусцированного js?

Но если использовать совсем тривиальный API безо всякого контроля запросов - это не поможет вообще никак.