странные мета заголовки http-equiv = origin-trial

Главные вкладки

Аватар пользователя alexeye alexeye 7 мая 2021 в 21:19

привет всем, подскажите что это. У меня друпал 9, актуальная версия. В исходном коде сайта данные заголовки отсутствуют, но при просмотре кода в среде разработчика в head вижу около 10-15 таких мета заголовков с разным содержимым в поле content, то есть в виде:
meta http-equiv="origin-trial" content="ЗдеСьРазныйНаборЛатинскихЗнаковцифрИзнака+"
. Само содержимое представляет из себя строку длинной порядка 264 символов из букв, цифр и знаков "+", видимо зашифрованная. Может ли кто-то сказать, откуда это берется?
Проверял в firefox, yandex browser, opera, ie edge. На линуксе и виндовс соотв..
На сервере стоит nginx. Так же есть и другие сайты, нигде больше подобного нет. Конфигурации серверов идентичны.

Спасибо

Комментарии

Аватар пользователя alexeye alexeye 7 мая 2021 в 21:30

через composer. вот заголовок из composer.json:
"name": "drupal/recommended-project",
"description": "Project template for Drupal 8 projects with a relocated document root",
"type": "project",
"license": "GPL-2.0-or-later",

устанавливал еще 8 (не знаю, 8.8, 8.9. Пару недель назад обновлял до 9. )

Аватар пользователя artomas artomas 7 мая 2021 в 21:46

Я имею ввиду профиль во время установки через мастера (веб-морду). Это только предположение: это не демо-версия была, которую Друпал предлагает как вариант?

Аватар пользователя alexeye alexeye 7 мая 2021 в 22:10

да. Но то, что добавляет метатаг можно видеть в исходном коде (ctrl+U), а эти заголовки в исходном коде отсутствуют. Их видно только через среду разработки. Потому и возник вопрос откуда они берутся. Нашел в интернете об "origin trial":

Origin Trials are a way for developers to test and use experimental web platform features for a limited amount of time in exchange for feedback. Feedback is key in origin trials as browsers are granting developers access to ensure that the feature makes sense and is usable.

добавляется в виде (например):
<meta http-equiv="origin-trial" content="your-token-gues-here">.

Однако я ни в какой среде разработки (ни microsoft edge, ни chrome или mozilla) не регистрировался и никаких токенов не получал и нигде их не добавлял.

Аватар пользователя artomas artomas 7 мая 2021 в 22:17

Опять же могу ошибаться, но Друпал ту ничего не делает. Вопросы к браузерам. Вы, кстати, разрешили им отправлять статистику? Ответьте обязательно. Уже интересно)

Аватар пользователя alexeye alexeye 7 мая 2021 в 22:21

браузеры тоже скорее всего ничего не делают, поскольку как говорил выше, я сравнивал заголовки head и с другими (своими) сайтами. Только на этом одном такая канитель. Поэтому предполагаю где-то в нем, в его конфигурации ошибка или даже взлом.

Аватар пользователя artomas artomas 7 мая 2021 в 22:24

Ну, если только взлом. Не знаю, проверил несколько вариантов у себя -- нет такого. Всему софту всегда запрещаю отправлять данные. Друпал сам тут не делает, как понимаю, ничего.

Аватар пользователя alexeye alexeye 8 мая 2021 в 1:21

дело вроде в рекламных и пр. гугл-скриптах (добавлены в шаблон сайта):

        <script data-ad-client="ca-pub-НОМЕР" async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
        <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
        <!-- Global site tag (gtag.js) - Google Analytics -->
        <script async src="https://www.googletagmanager.com/gtag/js?id=UA-НОМЕР"></script>
        <script>
          window.dataLayer = window.dataLayer || [];
          function gtag(){dataLayer.push(arguments);}
          gtag('js', new Date());
          gtag('config', 'UA-НОМЕР');
        </script>