
<font size=2 face="sans-serif">Hi John.</font>

<br>

<br><font size=2 face="sans-serif">I haven't see the issue on any other

pages, so your patch should hopefully fix the issue.</font>

<br>

<br><font size=2 face="sans-serif">Thanks,</font>

<br><font size=2 face="sans-serif">JT</font>

<br>

<br><tt><font size=2>John Thurston <john.thurston@alaska.gov> wrote

on 14/11/2017 05:58:30:<br>

<br>

> <br>

> I propose the following patch to correct the broken form submission

on <br>

> the trends page:<br>

> <br>

> > --- ./xymon-4.3.28/lib/cgi.c-4.3.28   Thu Mar   3 14:44:55

2016<br>

> > +++ ./xymon-4.3.28/lib/cgi.c   Mon Nov 13 09:43:38 2017<br>

> > @@ -275,7 +275,7 @@<br>

> >    else if (strncmp(str, "ackinfo", 7) ==

0) csppol = strdup<br>

> ("script-src 'self'; connect-src 'self'; form-action 'self';");<br>

> >    else if (strncmp(str, "acknowledge", 11)

== 0) csppol = strdup<br>

> ("script-src 'self'; connect-src 'self'; form-action 'self';");<br>

> >    else if (strncmp(str, "criticaleditor",

14) == 0) csppol = <br>

> strdup("script-src 'self'; connect-src 'self'; form-action 'self';");<br>

> > -   else if (strncmp(str, "svcstatus-trends",

16) == 0) csppol = <br>

> strdup("script-src 'self' 'unsafe-inline'; connect-src 'self';

form-<br>

> action 'self'; sandbox allow-forms allow-scripts;");<br>

> > +   else if (strncmp(str, "svcstatus-trends",

16) == 0) csppol = <br>

> strdup("script-src 'self' 'unsafe-inline'; connect-src 'self';

form-<br>

> action 'self'; sandbox allow-forms allow-scripts allow-same-origin;");<br>

> >    else if (strncmp(str, "svcstatus-info",

14) == 0) csppol = <br>

> strdup("script-src 'self' 'unsafe-inline'; connect-src 'self';

form-<br>

> action 'self'; sandbox allow-forms allow-same-origin allow-scripts

<br>

> allow-modals allow-popups;");<br>

> >    else if (strncmp(str, "svcstatus", 9)

== 0) csppol = strdup<br>

> ("script-src 'self'; connect-src 'self'; form-action 'self';

sandbox<br>

> allow-forms allow-same-origin;");<br>

> >    else if (strncmp(str, "historylog", 10)

== 0) csppol = strdup<br>

> ("script-src 'self'; connect-src 'self'; form-action 'self';

sandbox<br>

> allow-forms;");<br>

> <br>

> Has anyone found other incorrect CSP headers ?<br>

> <br>

>     Do things because you should, not just because you can.<br>

> <br>

> John Thurston    907-465-8591<br>

> John.Thurston@alaska.gov<br>

> Department of Administration<br>

> State of Alaska<br>

> _______________________________________________<br>

> Xymon mailing list<br>

> Xymon@xymon.com<br>

> </font></tt><a href=http://lists.xymon.com/mailman/listinfo/xymon><tt><font size=2>http://lists.xymon.com/mailman/listinfo/xymon</font></tt></a><tt><font size=2><br>

</font></tt>