実際の商用運用におきましては、APIキー等の機密情報をバックエンドサーバー側で安全に保持・処理する設計を推奨しております。
APIリファレンスにJavaScriptのサンプルコードを掲載している理由は、開発検証等においてAPIの利用イメージを掴んでいただきやすくするためです。 ご指摘の通り、クライアントサイド(ブラウザ側)にAPIキーを直接記述するとセキュリティ上のリスクが生じます。
そのため、JavaScriptを用いてAPIを呼び出す場合(Node.js等のバックエンド環境を推奨)を含め、外部からの直接アクセスを防ぐことができるバックエンドサーバーを活用し、お客様側の開発にて適切なセキュリティ対策を行ってください。