Один из клиентов GoDaddy обратил внимание, что хостер внедряет в HTML-страницы своих пользователей посторонний JavaScript.
На админской стороне никаких скриптов не было, а со стороны клиента в коде появился <script></script> с комментарием от хостера.
<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>Конечно, комментарий объясняет поведение скрипта, который предназначен для мониторинга производительности. Но пользователь всё равно не мог поверить, что хостер производит инъекции JavaScript без его согласия.
Но GoDaddy действительно делает это. Технология называется Real User Metrics. В правилах использования сервиса написано, что все клиенты из США автоматически подписываются на эту услугу. Имеются в виду клиенты, чьи сайты располагаются в американском дата-центре. На страницы этих сайтов посторонний JavaScript внедряется по умолчанию.
Самое интересное, что даже в справочном разделе GoDaddy признаёт, что эти скрипты «могут замедлить или сломать ваш сайт».
Для отключения навязанной услуги следует щёлкнуть по кнопке с многоточием в правом верхнем углу админского интерфейса, выбрать пункт Help us, и далее Opt Out.
После этого посторонние скрипты исчезнут со страниц сайта.
