Да, и нет.
Да, есть возможность просмотра виджета Javascript.Сценарий, используемый для доступа к API вашего сайта, наверняка будет виден (URL-адрес должен быть где-то, верно?).Все, что доступно для браузера, будет доступно пользователю.
Нет, возможно предотвратить реверс-инжиниринг.Если вы минимизируете и запутываете Javascript, вам будет довольно сложно увидеть, что он делает.Конечно, решительный злоумышленник всегда сможет обратить вспять минимизацию и запутывание, если будет достаточно времени, но вам решать, хотите ли вы пойти на этот риск.