Los usuarios pueden escribir códigos HTML en Blackboard Learn de varias maneras. Por ejemplo, pueden hacerlo con el editor de contenidos en los blogs y los tableros de discusión, y a través de la carga de archivos HTML. Antiguamente, se presentaban amenazas de seguridad porque los usuarios podían escribir etiquetas potencialmente peligrosas, como las de secuencias de comandos. Estas etiquetas se podían utilizar para ejecutar secuencias de comandos malintencionadas en Blackboard Learn; situación que exponía a otros usuarios a ataques. Esto se conoce como secuencias de comandos en sitios cruzados, lo que permite a un usuario tener control sobre los navegadores de otros usuarios.
Los filtros de HTML seguro le brindan mayor control sobre el tipo de HTML que pueden escribir los estudiantes. Esto hace que el HTML que proporciona el usuario sea más seguro para Blackboard Learn. La función reemplaza a un depurador de HTML anterior con la biblioteca de seguridad de código abierto desde la API AntiSamy del proyecto Open Web Application Security Project. La API nueva garantiza que el HTML proporcionado por el usuario cumpla con las reglas de una aplicación.
Blackboard Learn ofrece a los administradores un archivo default-policy.xml que contiene las reglas de HTML seguro. Los administradores pueden definir los atributos y las etiquetas HTML en el archivo default-policy.xml que se permiten en su instancia de Blackboard Learn, en función del nivel de tolerancia de riesgo de su organización.
Si personalizó el archivo default-policy.xml y Blackboard realiza cambios en la versión predeterminada del archivo, se cambia el nombre del archivo predeterminado anterior de Blackboard para indicar que se trata de una versión anterior. El archivo default-policy.xml nuevo creado por Blackboard se agrega a sus políticas y se establece como su política activa. Se le informará de la actualización del archivo por correo electrónico. Su propia política personalizada no se modifica.
El HTML seguro solo se aplica a los usuarios que no tienen el privilegio Agregar/modificar el contenido de confianza (también se lo conoce como el privilegio Agregar/editar el contenido de confianza con secuencias de comandos). Los usuarios con este privilegio pueden escribir códigos HTML no restringidos o de confianza, lo que significa que no están sujetos a las reglas del HTML seguro. De forma predeterminada, Blackboard Learn otorga este privilegio a diferentes usuarios: administradores, desarrolladores de cursos, calificadores, profesores y profesores asistentes. Todos los demás roles no cuentan con este privilegio de forma predeterminada, pero es posible agregarlo según sea necesario.
En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.
Los entornos de Blackboard Learn SaaS no se pueden configurar para filtrar los tipos de archivos personalizados a través de los filtros de HTML.
Personalizar una política
Los administradores pueden personalizar la lista de atributos y etiquetas HTML permitidos en el archivo default-policy.xml, en función de las necesidades de sus organizaciones. Sin embargo, esto debería ser un evento poco frecuente. Los administradores solo deben personalizar la política si tienen un caso de uso específico que no se correlaciona con ella.
- En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.
- Haga clic en Filtro de HTML seguro para el editor de contenido para acceder a la lista de políticas.
- Acceda al menú del archivo default-policy.xml y seleccione Descargar. Guarde el archivo en su equipo.
- Realice los cambios necesarios en la regla de HTML seguro para satisfacer las necesidades de su organización.
- Cuando haya editado el archivo, escriba un nombre nuevo.
- Vuelva a la página Filtro de HTML seguro para el editor de contenido para acceder a la lista de políticas.
- Seleccione Cargar para acceder a la página Cargar política de HTML seguro y busque el archivo nuevo.
- Si lo desea, escriba un comentario.
- Seleccione Enviar para cargar el archivo nuevo.
- El archivo nuevo aparecerá en la lista de archivos de políticas. En el menú del archivo, haga clic en Activar para convertirlo en el archivo de política activo de su entorno de Blackboard Learn.
Probar una política
Los administradores pueden probar las políticas para asegurarse de que funcionen correctamente y de que generen los resultados deseados.
- En el Panel del administrador, ingrese al menú Seguridad y haga clic en Filtros de HTML seguros.
- Haga clic en Filtro de HTML seguro para el editor de contenido.
- En el menú del archivo de política, seleccione Probar política.
- En el campo Introduzca un código (HTML, JS) para probarlo, escriba cualquier código HTML que desee probar.
- Haga clic en Probar.
El sistema proporciona resultados de la prueba en función del código HTML que introdujo, como los siguientes:
- Aparece el nuevo campo Resultados depurados que muestra los resultados depurados por el sistema para el código HTML que escribió.
- Si la política no permite la etiqueta de la secuencia de comandos que escribió, aparecerá un mensaje indicándole que la secuencia de comandos no está permitida por motivos de seguridad.
- Es posible que una etiqueta contenga un atributo que no se puede procesar. En este caso, aparecerá un mensaje con la etiqueta que contiene un atributo que no se puede procesar y que se ha eliminado.
Atributos y etiquetas del cuerpo de HTML
El archivo default-policy.xml permite los siguientes atributos y etiquetas del cuerpo.
Agrupación de elementos
Atributos y etiquetas del cuerpo de HTMLEtiqueta | Atributos |
---|
div | id, class, lang, dir, title, style, align |
span | id, class, dir, title, style, align, xml:lang |
Encabezados
EncabezadosEtiqueta | Atributos |
---|
h1 | id, class, lang, dir, title, style, align |
h2 | id, class, lang, dir, title, style, align |
h3 | id, class, lang, dir, title, style, align |
h4 | id, class, lang, dir, title, style, align |
h5 | id, class, lang, dir, title, style, align |
h6 | id, class, lang, dir, title, style, align |
Dirección
DirecciónEtiqueta | Atributos |
---|
address | id, class, lang, dir, title, style |
Atributos y etiquetas de línea horizontal y estilo de fuente
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de línea horizontal y estilo de fuente.
Estilo de fuente
Atributos y etiquetas de línea horizontal y estilo de fuenteEtiqueta | Atributos |
---|
tt | id, class, lang, dir, title, style |
i | id, class, lang, dir, title, style |
b | id, class, lang, dir, title, style |
big | id, class, lang, dir, title, style |
small | id, class, lang, dir, title, style |
Línea horizontal
Línea horizontalEtiqueta | Atributos |
---|
hr | id, class, lang, dir, title, style |
Atributos y etiquetas de listas
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de listas.
Listas no ordenadas, listas ordenadas y elementos de la lista
Atributos y etiquetas de listasEtiqueta | Atributos |
---|
ul | id, class, lang, dir, title, style |
li | id, class, lang, dir, title, style |
ol | id, class, lang, dir, title, style |
Listas de definiciones
Listas de definicionesEtiqueta | Atributos |
---|
dl | id, class, lang, dir, title, style |
dt | id, class, lang, dir, title, style |
dd | id, class, lang, dir, title, style |
dir | id, class, dir, title, style, compact |
menu | id, class, lang, dir, title, style, compact |
Atributos y etiquetas de enlaces
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de enlaces.
Enlaces
Atributos y etiquetas de enlacesEtiqueta | Atributos |
---|
a | class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
link | Consulte http://www.w3schools.com/tags/tag_link.asp. |
Atributos y etiquetas de texto
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de texto.
Elementos de frase
Atributos y etiquetas de textoEtiqueta | Atributos |
---|
em | id, class, lang, dir, title, style |
strong | id, class, lang, dir, title, style |
cite | id, class, lang, dir, title, style |
dfn | id, class, lang, dir, title, style |
código | id, class, lang, dir, title, style |
samp | id, class, lang, dir, title, style |
kbd | id, class, lang, dir, title, style |
var | id, class, lang, dir, title, style |
abbr | id, class, lang, dir, title, style |
acronym | id, class, lang, dir, title, style |
Citas
Atributos y etiquetas de citasEtiqueta | Atributos |
---|
blockquote | id, class, lang, dir, title, style |
s | id, class, lang, dir, title, style |
Subíndice y superíndice
Atributos y etiquetas de subíndice y superíndiceEtiqueta | Atributos |
---|
sub | id, class, lang, dir, title, style |
sup | id, class, lang, dir, title, style |
Líneas y párrafos
Atributos y etiquetas de líneas y párrafosEtiqueta | Atributos |
---|
p | id, class, lang, dir, title, style, align |
br | id, class, title, style, clear |
pre | id, class, lang, dir, title, style |
Marcación de modificaciones del documento
Atributos y etiquetas de marcación de modificaciones del documentoEtiqueta | Atributos |
---|
ins | id, class, lang, dir, title, style |
del | id, class, lang, dir, title, style |
Atributos y etiquetas de tablas
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de tablas.
Tabla
Atributos y etiquetas de tablasEtiqueta | Atributos |
---|
tabla | id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Títulos de tablas
Atributos y etiquetas de títulos de tablasEtiqueta | Atributos |
---|
caption | id, lang, dir, title, style |
Grupos de filas
Atributos y etiquetas de grupo de filasEtiqueta | Atributos |
---|
thread | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tfoot | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tbody | id, class, lang, dir, title, style, align, char, charoff, valign |
pre | id, class, lang, dir, title, style |
Grupos de columnas
Atributos y etiquetas de grupo de columnasEtiqueta | Atributos |
---|
colgroup | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
col | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Filas de tablas
Atributos y etiquetas de fila de tablasEtiqueta | Atributos |
---|
tr | id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Celdas de tablas
Atributos y etiquetas de celda de tablasEtiqueta | Atributos |
---|
.º | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
td | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Atributos y etiquetas de mashup y contenido multimedia incrustados
El archivo default-policy.xml viene con los siguientes atributos y etiquetas de contenido multimedia incrustado y herramientas combinadas.
Socios
Atributos y etiquetas de mashup y contenido multimedia incrustadosEtiqueta | Atributos |
---|
script | type, charset, src |
iframe | src=starts with SafeHTML Restricted YouTube Sources or Building Blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Imágenes
Atributos y etiquetas de imágenesEtiqueta | Atributos |
---|
img | src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
YouTube
Atributos y etiquetas de YouTubeEtiqueta | Atributos |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=starts with SafeHTML Restricted YouTube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
incrustar | src=starts with SafeHTML Restricted YouTube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=starts with http(s)://www.youtube.com or http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
SlideShare
Atributos y etiquetas de SlideShareEtiqueta | Atributos |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
incrustar | src=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling |
Otros tipos de contenido multimedia, incluido Flash
Atributos y etiquetas de otros tipos de contenido multimediaEtiqueta | Atributos | Comentarios |
---|
object | codebase, name, align, hspace, vspace, bgcolor, classid | |
param | name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false | Puede contener otros parámetros, pero estos siempre deben estar presentes para otras fuentes que no sean YouTube y SlideShare. |
incrustar | allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang | El atributo allowScriptAccess=never siempre debe estar presente para Flash El atributo allowNetworking=none siempre debe estar presente para Flash El atributo allowFullScreen=false siempre debe estar presente para Flash "type" no se limita actualmente a nuestros tipos de contenido multimedia compatibles, pero la política predeterminada finalmente se limitará a lo siguiente: - video/quicktime
- application/x-shockwave-flash
- application/x-director
- application/x-mplayer2
|
iframe | src=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling | |