<font size=2 face="sans-serif">Xymon 4.3.28-1.el7.terabithia with Safari
11 on High Sierra and Safari on iOS 11.</font>
<br><font size=2 face="sans-serif">Problem occurs on the trends page.</font>
<br>
<br><a href="https://xymon.domain.com.au/xymon-cgi/svcstatus.sh?HOST=host.com.au&SERVICE=trends"><font size=2 face="sans-serif">https://xymon.domain.com.au/xymon-cgi/svcstatus.sh?HOST=host.com.au&SERVICE=trends</font></a>
<br>
<br><font size=2 face="sans-serif">If you click on any of the time based
buttons, 48hrs for example, the requested page doesn't load.</font>
<br><font size=2 face="sans-serif">Safari on macOS look like it's loading
a page but doesn't get anywhere.</font>
<br><font size=2 face="sans-serif">Safari on iOS does nothing at all when
you tap the button.</font>
<br>
<br><font size=2 face="sans-serif">The console in Safari reveals the following
error:</font>
<br>
<br><font size=2 face="sans-serif">Refused to load </font><a href="https://xymon.domain.com.au/xymon-cgi/svcstatus.sh?HOST=host.com.au&SERVICE=trends&backdays=48&backhours=&backmins=&backsecs=&FROMTIME=&TOTIME="><font size=2 color=blue face="sans-serif">https://xymon.domain.com.au/xymon-cgi/svcstatus.sh?HOST=host.com.au&SERVICE=trends&backdays=48&backhours=&backmins=&backsecs=&FROMTIME=&TOTIME=</font></a><font size=2 face="sans-serif">
because it does not appear in the form-action directive of the Content
Security Policy.</font>
<br>
<br><font size=2 face="sans-serif">Checking the headers shows this content
security policy:</font>
<br>
<br><font size=2 face="sans-serif">Content-Security-Policy: script-src
'self' 'unsafe-inline'; connect-src 'self'; form-action 'self'; sandbox
allow-forms allow-scripts;</font>
<br>
<br><font size=2 face="sans-serif">I'm not that well versed in the CSP
stuff, but I note that it also fails with the same error in the latest
Chrome 62.0.3202.89, and in Internet Explorer 11.0.9600.18817 (no error
logged), but works in the latest Firefox 56.0.2.</font>
<br>
<br><font size=2 face="sans-serif">Has anyone else run into this issue,
or has any more information on how I can modify the CSP headers to test?</font>
<br>
<br><font size=2 face="sans-serif">I tried using </font><font size=2 face="Menlo-Regular">Header
set Content-Security-Policy</font><font size=2 face="sans-serif"> in apache
but that seems to add an improperly formatted addition to the rules rather
than overwriting them.</font>
<br>
<br><font size=2 face="sans-serif">Thanks,</font>
<br><font size=2 face="sans-serif">JT</font>