Wenn Du zu Deiner öffentlichen URL auch noch Deinen Secret-Key mit veröffentlichst, dann ist es ein genauso großes Sicherheitsrisiko wie Deine öffentlich erreichbare Nextcloud mit veröffentlichten Zugangsdaten. ;)
ONLYOFFICE wird ohne eine Port-Freigabe nur über den Port 443 von Außen...