Развернуть backend и frontend в одной сети и не открывать порты бека во внешнюю сеть, чтобы открыты были только порты фронтенда.
Все что "загрузилось браузером" у клиента - доступно клиенту, а значить можно отправить запрос вне сайта на этот же api.
Вопрос, такой расклад событий может помочь ограничить доступ к эндпоинтам?
Нет. Необходим более сложный механизм защиты, по типу отслеживания количества запросов с определённых ip адресов.
