Скрыть экспресс-ответ от браузера

Я использую Polymer.js на стороне клиента. Нужно получить process.env с экспресс-сервера, используя следующее:

app.get('/getkey', function(req, res){
     res.send(process.env.KEY);
});

Но это написано как ответ браузеру на каждый запрос GET. Есть ли способ скрыть эту конфиденциальную информацию от браузера?

Кодирование / декодирование Base64 слишком базовое. И я не уверен, как зашифровать информацию на экспресс-сервере и расшифровать ее обратно на элементе polymer 3.

Пожалуйста помоги.