Los usuarios pueden escribir códigos HTML en Blackboard Learn de varias maneras. Por ejemplo, pueden hacerlo con el editor de contenidos en los blogs y los tableros de discusión, y a través de la carga de archivos HTML. Antiguamente, se presentaban amenazas de seguridad porque los usuarios podían escribir etiquetas potencialmente peligrosas, como las de secuencias de comandos. Estas etiquetas se podían utilizar para ejecutar secuencias de comandos malintencionadas en Blackboard Learn; situación que exponía a otros usuarios a ataques. Esto se conoce como secuencias de comandos en sitios cruzados, lo que permite a un usuario tener control sobre los navegadores de otros usuarios.

Los filtros de HTML seguro le brindan mayor control sobre el tipo de HTML que pueden escribir los estudiantes. Esto hace que el HTML que proporciona el usuario sea más seguro para Blackboard Learn. La función reemplaza a un depurador de HTML anterior con la biblioteca de seguridad de código abierto desde la API AntiSamy del proyecto Open Web Application Security Project. La API nueva garantiza que el HTML proporcionado por el usuario cumpla con las reglas de una aplicación.

Blackboard Learn ofrece a los administradores un archivo default-policy.xml que contiene las reglas de HTML seguro. Los administradores pueden definir los atributos y las etiquetas HTML en el archivo default-policy.xml que se permiten en su instancia de Blackboard Learn, en función del nivel de tolerancia de riesgo de su organización.

Si personalizó el archivo default-policy.xml y Blackboard realiza cambios en la versión predeterminada del archivo, se cambia el nombre del archivo predeterminado anterior de Blackboard para indicar que se trata de una versión anterior. El archivo default-policy.xml nuevo creado por Blackboard se agrega a sus políticas y se establece como su política activa. Se le informará de la actualización del archivo por correo electrónico. Su propia política personalizada no se modifica.

El HTML seguro solo se aplica a los usuarios que no tienen el privilegio Agregar/modificar el contenido de confianza (también se lo conoce como el privilegio Agregar/editar el contenido de confianza con secuencias de comandos). Los usuarios con este privilegio pueden escribir códigos HTML no restringidos o de confianza, lo que significa que no están sujetos a las reglas del HTML seguro. De forma predeterminada, Blackboard Learn otorga este privilegio a diferentes usuarios: administradores, desarrolladores de cursos, calificadores, profesores y profesores asistentes. Todos los demás roles no cuentan con este privilegio de forma predeterminada, pero es posible agregarlo según sea necesario.

En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.

Los entornos de Blackboard Learn SaaS no se pueden configurar para filtrar los tipos de archivos personalizados a través de los filtros de HTML.


Personalizar una política

Los administradores pueden personalizar la lista de atributos y etiquetas HTML permitidos en el archivo default-policy.xml, en función de las necesidades de sus organizaciones. Sin embargo, esto debería ser un evento poco frecuente. Los administradores solo deben personalizar la política si tienen un caso de uso específico que no se correlaciona con ella.

  1. En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.
  2. Haga clic en Filtro de HTML seguro para el editor de contenido para acceder a la lista de políticas.
  3. Acceda al menú del archivo default-policy.xml y seleccione Descargar. Guarde el archivo en su equipo.
  4. Realice los cambios necesarios en la regla de HTML seguro para satisfacer las necesidades de su organización.
  5. Cuando haya editado el archivo, escriba un nombre nuevo.
  6. Vuelva a la página Filtro de HTML seguro para el editor de contenido para acceder a la lista de políticas.
  7. Seleccione Cargar para acceder a la página Cargar política de HTML seguro y busque el archivo nuevo.
  8. Si lo desea, escriba un comentario.
  9. Seleccione Enviar para cargar el archivo nuevo.
  10. El archivo nuevo aparecerá en la lista de archivos de políticas. En el menú del archivo, haga clic en Activar para convertirlo en el archivo de política activo de su entorno de Blackboard Learn.

Probar una política

Los administradores pueden probar las políticas para asegurarse de que funcionen correctamente y de que generen los resultados deseados.

  1. En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.
  2. Haga clic en Filtro de HTML seguro para el editor de contenido.
  3. En el menú del archivo de política, seleccione Probar política.
  4. En el campo Introduzca un código (HTML, JS) para probarlo, escriba cualquier código HTML que desee probar.
  5. Haga clic en Probar.

El sistema proporciona resultados de la prueba en función del código HTML que introdujo, como los siguientes:

  • Aparece el nuevo campo Resultados depurados que muestra los resultados depurados por el sistema para el código HTML que escribió.
  • Si la política no permite la etiqueta de la secuencia de comandos que escribió, aparecerá un mensaje indicándole que la secuencia de comandos no está permitida por motivos de seguridad.
  • Es posible que una etiqueta contenga un atributo que no se puede procesar. En este caso, aparecerá un mensaje con la etiqueta que contiene un atributo que no se puede procesar y que se ha eliminado.

Atributos y etiquetas del cuerpo de HTML

El archivo default-policy.xml permite los siguientes atributos y etiquetas del cuerpo.

Agrupación de elementos

Atributos y etiquetas del cuerpo de HTML
EtiquetaAtributos
divid, class, lang, dir, title, style, align
spanid, class, dir, title, style, align, xml:lang

Encabezados

Encabezados
EtiquetaAtributos
h1id, class, lang, dir, title, style, align
h2id, class, lang, dir, title, style, align
h3id, class, lang, dir, title, style, align
h4id, class, lang, dir, title, style, align
h5id, class, lang, dir, title, style, align
h6id, class, lang, dir, title, style, align

Dirección

Dirección
EtiquetaAtributos
addressid, class, lang, dir, title, style

Atributos y etiquetas de línea horizontal y estilo de fuente

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de línea horizontal y estilo de fuente.

Estilo de fuente

Atributos y etiquetas de línea horizontal y estilo de fuente
EtiquetaAtributos
ttid, class, lang, dir, title, style
iid, class, lang, dir, title, style
bid, class, lang, dir, title, style
bigid, class, lang, dir, title, style
smallid, class, lang, dir, title, style

Línea horizontal

Línea horizontal
EtiquetaAtributos
hrid, class, lang, dir, title, style

Atributos y etiquetas de listas

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de listas.

Listas no ordenadas, listas ordenadas y elementos de la lista

Atributos y etiquetas de listas
EtiquetaAtributos
ulid, class, lang, dir, title, style
liid, class, lang, dir, title, style
olid, class, lang, dir, title, style

Listas de definiciones

Listas de definiciones
EtiquetaAtributos
dlid, class, lang, dir, title, style
dtid, class, lang, dir, title, style
ddid, class, lang, dir, title, style
dirid, class, dir, title, style, compact
menuid, class, lang, dir, title, style, compact

Atributos y etiquetas de enlaces

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de enlaces.

Enlaces

Atributos y etiquetas de enlaces
EtiquetaAtributos
aclass, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
linkConsulte http://www.w3schools.com/tags/tag_link.asp.

Atributos y etiquetas de texto

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de texto.

Elementos de frase

Atributos y etiquetas de texto
EtiquetaAtributos
emid, class, lang, dir, title, style
strongid, class, lang, dir, title, style
citeid, class, lang, dir, title, style
dfnid, class, lang, dir, title, style
códigoid, class, lang, dir, title, style
sampid, class, lang, dir, title, style
kbdid, class, lang, dir, title, style
varid, class, lang, dir, title, style
abbrid, class, lang, dir, title, style
acronymid, class, lang, dir, title, style

Citas

Atributos y etiquetas de citas
EtiquetaAtributos
blockquoteid, class, lang, dir, title, style
sid, class, lang, dir, title, style

Subíndice y superíndice

Atributos y etiquetas de subíndice y superíndice
EtiquetaAtributos
subid, class, lang, dir, title, style
supid, class, lang, dir, title, style

Líneas y párrafos

Atributos y etiquetas de líneas y párrafos
EtiquetaAtributos
pid, class, lang, dir, title, style, align
brid, class, title, style, clear
preid, class, lang, dir, title, style

Marcación de modificaciones del documento

Atributos y etiquetas de marcación de modificaciones del documento
EtiquetaAtributos
insid, class, lang, dir, title, style
delid, class, lang, dir, title, style

Atributos y etiquetas de tablas

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de tablas.

Tabla

Atributos y etiquetas de tablas
EtiquetaAtributos
tablaid, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Títulos de tablas

Atributos y etiquetas de títulos de tablas
EtiquetaAtributos
captionid, lang, dir, title, style

Grupos de filas

Atributos y etiquetas de grupo de filas
EtiquetaAtributos
threadcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfootcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbodyid, class, lang, dir, title, style, align, char, charoff, valign
preid, class, lang, dir, title, style

Grupos de columnas

Atributos y etiquetas de grupo de columnas
EtiquetaAtributos
colgroupspan, width, id, class, lang, dir, title, style, align, char, charoff, valign
colspan, width, id, class, lang, dir, title, style, align, char, charoff, valign

Filas de tablas

Atributos y etiquetas de fila de tablas
EtiquetaAtributos
trid, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Celdas de tablas

Atributos y etiquetas de celda de tablas
EtiquetaAtributos
abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
tdabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Atributos y etiquetas de mashup y contenido multimedia incrustados

El archivo default-policy.xml viene con los siguientes atributos y etiquetas de contenido multimedia incrustado y herramientas combinadas.

Socios

Atributos y etiquetas de mashup y contenido multimedia incrustados
EtiquetaAtributos
scripttype, charset, src
iframesrc=starts with SafeHTML Restricted YouTube Sources or Building Blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Imágenes

Atributos y etiquetas de imágenes
EtiquetaAtributos
imgsrc, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

Atributos y etiquetas de YouTube
EtiquetaAtributos
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=starts with SafeHTML Restricted YouTube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
incrustarsrc=starts with SafeHTML Restricted YouTube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=starts with http(s)://www.youtube.com or http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

SlideShare

Atributos y etiquetas de SlideShare
EtiquetaAtributos
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
incrustarsrc=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling

Otros tipos de contenido multimedia, incluido Flash

Atributos y etiquetas de otros tipos de contenido multimedia
EtiquetaAtributosComentarios
objectcodebase, name, align, hspace, vspace, bgcolor, classid 
paramname=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=falsePuede contener otros parámetros, pero estos siempre deben estar presentes para otras fuentes que no sean YouTube y SlideShare.
incrustarallowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

El atributo allowScriptAccess=never siempre debe estar presente para Flash

El atributo allowNetworking=none siempre debe estar presente para Flash

El atributo allowFullScreen=false siempre debe estar presente para Flash

"type" no se limita actualmente a nuestros tipos de contenido multimedia compatibles, pero la política predeterminada finalmente se limitará a lo siguiente:

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframesrc=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling