Вы не можете. ЛЮБЫЕ HTTP-заголовки по умолчанию будут отображаться в браузере в любое время:
Сквозные заголовки: Эти заголовки должны быть переданы в финал
получатель сообщения; то есть сервер для запроса или
клиент для ответа. Промежуточные прокси-серверы должны повторно передавать сквозной
Заголовки не изменены, и кэши должны их хранить.
Чтобы сделать ваше приложение безопасным, используйте HTTPS, и если вы действительно не хотите показывать, какой заголовок является аутентификационным, замените его настраиваемым заголовком. Кроме того, если вам действительно нужно скрыть данные внутри него, зашифруйте токен с помощью собственной логики.