cloudflare是否通过浏览器PDF插件为PDF请求注入跟踪代码？

Question

打开浏览器中的PDF链接(例如，带有ootb PDF查看器插件的google )显然表明，当PDF托管在面向cloudflare的域时，嵌入代码中存在额外的数据。

使用chrome工具检查显示的PDF文件的页面源时，当PDF在cloudflare后面时显示一些“reporting”URL，例如https://a.nel.cloudflare.com/report/v3?s=%2BW057P981N7Esg... (参见第二个代码块)。

PDF嵌入未通过cloudflare:

提供的文件

<embed id="plugin" type="application/x-google-chrome-pdf" src="https://www.w3.org/WAI/ER/tests/xhtml/testfiles/resources/pdf/dummy.pdf" stream-url="chrome-extension://mhjfbmdgcfjbbpaeojofohoefgiehjai/f02f891e-7fd9-4857-8a34-f4e05abb87f8" headers="accept-ranges: bytes
cache-control: max-age=21600
content-length: 13264
content-type: application/pdf; qs=0.001
date: Sun, 05 Sep 2021 08:17:57 GMT
etag: "33d0-438b181451e00"
expires: Sun, 05 Sep 2021 14:17:57 GMT
last-modified: Mon, 27 Aug 2007 17:15:36 GMT
strict-transport-security: max-age=15552000; includeSubdomains; preload
x-backend: ssl-mirrors
" background-color="4283586137" javascript="allow" full-frame="" pdf-viewer-update-enabled="">

PDF嵌入一个通过cloudflare:

提供的文件

<embed id="plugin" type="application/x-google-chrome-pdf" src="https://www.cloudflare.com/static/839a7f8c9ba01f8cfe9d0a41c53df20c/cloudflare-cdn-whitepaper-19Q4.pdf" stream-url="chrome-extension://mhjfbmdgcfjbbpaeojofohoefgiehjai/fab5433b-5189-4469-91bb-fe144b761c7f" headers="accept-ranges: bytes
age: 105287
alt-svc: h3-27=":443"; ma=86400, h3-28=":443"; ma=86400, h3-29=":443"; ma=86400, h3=":443"; ma=86400
cache-control: max-age=8640000
cf-cache-status: HIT
cf-ray: 689e1d381a951501-MAD
content-length: 921473
content-type: application/pdf
date: Sun, 05 Sep 2021 08:33:41 GMT
etag: static/839a7f8c9ba01f8cfe9d0a41c53df20c/cloudflare-cdn-whitepaper-19Q4.797a721498.pdf
expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
nel: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
report-to: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v3?s=Bi6bZw6jf1FJoimuy2arirenUDiwyZX%2B%2B1Ty506xD9qMJ5UggIvZAy2h8gKogsJORkPlWdnZ12udf6CN%2BadaEF0FRKFAyZQabI6xkui0%2FrV%2BaCFsp7BmbEHnoLk0HPmJ6pMeMQ%3D%3D"}],"group":"cf-nel","max_age":604800}
server: cloudflare
strict-transport-security: max-age=31536000
vary: Accept-Encoding
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
" background-color="4283586137" javascript="allow" full-frame="" pdf-viewer-update-enabled="">

问题

这是否意味着cloudflare正在重写PDF嵌入的HTML源代码，并跟踪通过浏览器PDF插件打开的PDF文件？这对安全/隐私有什么影响？禁用浏览器PDF嵌入插件会减少cloudflare收集的数据量吗？

特别令人困惑的是，<embed/>代码应该是由PDF浏览器插件生成的，而不是从传入响应中生成的，所以为什么这种重写是专门针对cloudflare的呢？

Answer 1

这与HTML无关。这是Google的HTML，Cloudflare应该控制响应HTTP头，因为它是响应请求的HTTP服务器。

是内容安全策略安全特性的一部分。

Answer 2

不，这看起来不像是安全或隐私问题。

您的PDF查看器似乎正在生成一个<embed>元素，并且正在添加一个非标准的headers属性。这个属性似乎包含HTTP响应头，所以PDF文件的服务器发送的任何内容都是如此。例如，它包含一个用于缓存的ETag和各种与安全相关的头。

Cloudflare为其客户提供了涉及HTML和HTTP重写的各种特性。例如，如果以这种方式配置(例如，通过Cloudflare工作人员)，它绝对可以注入链接。Cloudflare处于MITM位置，可以插入任意代码并跟踪所有请求。这是他们服务的一个重要方面。

但是report-to头并不用于跟踪目的。它只是为浏览器提供了一种向网站操作员报告网站问题的可选方式。这可以包括有关不推荐的浏览器功能、内容安全策略(，CSP)违规或网络问题的信息。有关用例，请参阅他们的文章理解网络错误日志记录。由于大多数网站不运行能够收集和分析CSP报告的服务器，Cloudflare默认情况下插入报告URL。Cloudflare还可以使用有关网络和DNS问题的报告来提高其服务的稳定性，从而使客户受益。