skadyxd

Если это диплом, то просто сделай заглушку, чтобы платёж обрабатывался без реального платёжного шлюза.
Просто в тексте упомяни, что платёжный шлюз реализован, но в целях демонстрации используется заглушка.

По хорошему следует реально заложить архитектуру такую, чтобы можно было легко переключить на настоящую платежку

Развернуть backend и frontend в одной сети и не открывать порты бека во внешнюю сеть, чтобы открыты были только порты фронтенда.

Все что "загрузилось браузером" у клиента - доступно клиенту, а значить можно отправить запрос вне сайта на этот же api.

Вопрос, такой расклад событий может помочь ограничить доступ к эндпоинтам?

Нет. Необходим более сложный механизм защиты, по типу отслеживания количества запросов с определённых ip адресов.