Жетоны CSRF добавляются к запросам

У меня есть магазин OpenCart, работающий на двух разных серверах (разработка и подготовка одного и того же сайта). На сервере № 1 все работает, как и ожидалось, но на сервере № 2 я внезапно вижу параметр CSRF_TOKEN = xxxxxxx, добавляемый к различным, но не ко всем URL-адресам.

Откуда это идет ???

Например, если я нажимаю кнопку «Добавить в корзину», jQuery выдает следующее исключение:
Ошибка: синтаксическая ошибка, нераспознанное выражение:? CSRF_TOKEN = xxxxxxx

Я также получаю кучу других ошибок, все из-за этого таинственного CSRF_TOKEN.
Если я наведу указатель мыши на определенные ссылки, я вижу CSRF_TOKEN как часть URL-адреса, но его нет в исходном коде, но каким-то образом он оказывается в клиенте.

Я использую Apache версии 2.2.29 и PHP 5.4.32. Я понятия не имею, откуда это происходит и что с этим делать. Есть идеи, что здесь происходит?