要避免在查看HTML源代码时显示Firebase API密钥（以及其他敏感信息），可以使用以下方法之一：

1. 使用服务器端代码：将Firebase API密钥存储在服务器端，并通过服务器端代码将其传递给客户端。这样，客户端只能看到经过处理的密钥，而无法直接查看原始密钥。以下是使用Node.js的示例代码：

// 服务器端代码
const express = require('express');
const app = express();
const firebaseApiKey = 'YOUR_FIREBASE_API_KEY';

app.get('/', (req, res) => {
   res.render('index', { firebaseApiKey });
});

app.listen(3000, () => {
   console.log('Server is running on port 3000');
});

2. 使用环境变量：将Firebase API密钥存储为环境变量，并在客户端代码中引用该环境变量。这样，即使查看HTML源代码，也无法直接获得密钥。以下是使用JavaScript的示例代码：

3. 使用Firebase身份验证规则：通过在Firebase的身份验证规则中限制访问权限，确保只有授权用户可以访问Firebase API。这样，即使查看HTML源代码，也无法直接获取密钥。

无论选择哪种方法，请确保不将敏感信息直接暴露在公共可见的地方，并采取适当的安全措施来保护您的API密钥和其他敏感信息。