Les utilisateurs peuvent saisir du code HTML dans Blackboard Learn de diverses manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Par le passé, une menace pour la sécurité a été introduite, car les utilisateurs pouvaient entrer des balises potentiellement dangereuses, telles que des balises de script. Ces balises pourraient être utilisées pour exécuter des scripts malveillants dans Blackboard Learn, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle la Cross Scripting, qui permet à un utilisateur de contrôler d'autres navigateurs d'utilisateurs.

Les filtres HTML sécurisés vous garantissent davantage de contrôle sur le type de code HTML que les étudiants peuvent saisir, ce qui rend le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard Learn. La fonction remplace un assainisseur HTML antérieur par la bibliothèque de sécurité libre de l'API AntiSamy Open Web Application Security Project. La nouvelle API garantit que le format HTML fourni par l'utilisateur est conforme aux règles d'une application.

Blackboard Learn fournit aux administrateurs un fichier default-policy.xml contenant des règles HTML sécurisées. Les administrateurs peuvent définir les balises et les attributs HTML autorisés sur leur instance Blackboard Learn dans le fichier default-policy.xml, en fonction du niveau de tolérance aux risques de votre communauté.

Si vous avez personnalisé votre fichier default-policy.xml et que Blackboard apporte des modifications à la version par défaut du fichier, le précédent fichier Blackboard par défaut est renommé pour indiquer qu’il s’agit d’une ancienne version. Le nouveau fichier default-policy.xml modifié par Blackboard est ajouté à vos stratégies et est défini comme votre stratégie active. Vous serez informé de la mise à jour du fichier par e-mail. Votre propre politique personnalisée restera inchangée.

Le code HTML sécurisé ne s'applique qu'aux utilisateurs qui ne disposent pas du privilège Ajouter/modifier un contenu sécurisé (également appelé privilège Ajouter/modifier un contenu sécurisé avec des scripts). Les utilisateurs disposant de ce privilège peuvent saisir des codes HTML non restreints/fiables, ce qui signifie qu'ils ne sont pas liés aux règles HTML sécurisées. Par défaut, Blackboard Learn octroie ce privilège aux administrateurs, aux concepteurs de cours, aux notants, aux professeurs et aux assistants. Tous les autres rôles ne disposent pas de ce privilège par défaut, mais ils peuvent être ajoutés en fonction des besoins.

Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.

Les environnements Blackboard Learn SaaS ne peuvent pas être configurés pour filtrer les types de fichiers personnalisés via des filtres HTML.


Personnaliser une règle

Les administrateurs peuvent personnaliser la liste des balises et des attributs HTML autorisés dans le fichier default-policy.xml en fonction des besoins de leurs communautés. Cependant, cela doit rester un événement rare. Les administrateurs doivent uniquement personnaliser la stratégie s'ils rencontrent un cas d'utilisation spécifique que la règle ne prend pas en charge.

  1. Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
  2. Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
  3. Accédez au menu pour le fichier default-policy.xml et sélectionnez Télécharger. Enregistrez le fichier sur votre ordinateur.
  4. Apportez les modifications souhaitées à la règle SafeHTML pour répondre aux besoins de votre communauté.
  5. Une fois que vous avez modifié le fichier, saisissez un nouveau nom.
  6. Retournez sur la page Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
  7. Sélectionnez Charger pour accéder à la page Envoyer la règle HTML sécurisé et recherchez votre nouveau fichier.
  8. Vous pouvez également saisir un commentaire.
  9. Sélectionnez Valider pour télécharger le nouveau fichier.
  10. Le nouveau fichier apparaît dans la liste des fichiers de règle. Dans le menu du fichier, sélectionnez Activer pour en faire le fichier de règle actif dans votre environnement Blackboard Learn.

Tester une règle

Les administrateurs peuvent tester les stratégies pour s'assurer de leur bon fonctionnement et obtenir les résultats souhaités.

  1. Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
  2. Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu.
  3. Depuis le menu du fichier de stratégie, sélectionnez Tester la règle.
  4. Dans le champ Saisissez le code (HTML, JS) à tester, saisissez le code HTML que vous souhaitez tester.
  5. Sélectionnez Test.

Le système fournit des résultats des tests, en fonction du code HTML saisi, tels que ceux-ci :

  • Un nouveau champ Sortie assainie apparaît, vous indiquant la sortie assainie par le système pour le code HTML que vous avez saisi.
  • Si la balise de script que vous avez saisie n'est pas autorisée par la règle, un message s'affiche pour vous informer que le script n'est pas autorisé pour des raisons de sécurité.
  • Une balise peut contenir un attribut qui ne peut pas être traité. Dans ce cas, un message apparaît avec la balise qui contient un attribut qui ne peut pas être traité et qui a été filtré.

Balises et attributs du corps HTML

Le fichier default-policy.xml autorise ces balises et attributs de corps.

Regroupement d'éléments

Balises et attributs du corps HTML
BaliseAttributs
divid, class, lang, dir, title, style, align
spanid, class, dir, title, style, align, xml:lang

En-têtes

En-têtes
BaliseAttributs
h1id, class, lang, dir, title, style, align
h2id, class, lang, dir, title, style, align
h3id, class, lang, dir, title, style, align
h4id, class, lang, dir, title, style, align
h5id, class, lang, dir, title, style, align
h6id, class, lang, dir, title, style, align

Adresse

Adresse
BaliseAttributs
votre adresseid, class, lang, dir, title, style

Style de police et balises et attributs HR

Le fichier default-policy.xml est fourni avec ce style de police et ces balises et attributs HR.

Style de police

Style de police et balises et attributs HR
BaliseAttributs
ttid, class, lang, dir, title, style
iid, class, lang, dir, title, style
bid, class, lang, dir, title, style
bigid, class, lang, dir, title, style
smallid, class, lang, dir, title, style

HR

HR
BaliseAttributs
hrid, class, lang, dir, title, style

Répertorier les balises et les attributs

Le fichier default-policy.xml est fourni avec ces balises et attributs de liste.

Listes non classées, listes classées et éléments de liste

Balises et attributs de liste
BaliseAttributs
ulid, class, lang, dir, title, style
liid, class, lang, dir, title, style
olid, class, lang, dir, title, style

Listes de définitions

Listes de définitions
BaliseAttributs
dlid, class, lang, dir, title, style
dtid, class, lang, dir, title, style
ddid, class, lang, dir, title, style
dirid, class, dir, title, style, compact
menuid, class, lang, dir, title, style, compact

Balises et attributs de lien

Le fichier default-policy.xml est fourni avec ces balises et attributs de lien.

Liens

Balises et attributs de lien
BaliseAttributs
aclass, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
linkConsultez la page http://www.w3schools.com/tags/tag_link.asp.

Balises et attributs de texte

Le fichier default-policy.xml est fourni avec ces balises et attributs de texte.

Éléments d'expression

Balises et attributs de texte
BaliseAttributs
emid, class, lang, dir, title, style
strongid, class, lang, dir, title, style
citeid, class, lang, dir, title, style
dfnid, class, lang, dir, title, style
codeid, class, lang, dir, title, style
sampid, class, lang, dir, title, style
kbdid, class, lang, dir, title, style
varid, class, lang, dir, title, style
abbrid, class, lang, dir, title, style
acronymid, class, lang, dir, title, style

Guillemets

Balises et attributs de guillemets
BaliseAttributs
blockquoteid, class, lang, dir, title, style
qid, class, lang, dir, title, style

Indices et exposants

Balises et attributs d'indice et d'exposant
BaliseAttributs
subid, class, lang, dir, title, style
supid, class, lang, dir, title, style

Lignes et paragraphes

Balises et attributs de ligne et de paragraphe
BaliseAttributs
pid, class, lang, dir, title, stye, align
brid, class, title, style, clear
preid, class, lang, dir, title, style

Marquage des modifications de documents

Balises et attributs de marquage des modifications de document
BaliseAttributs
insid, class, lang, dir, title, style
delid, class, lang, dir, title, style

Balises et attributs de table

Le fichier default-policy.xml est fourni avec ces balises et attributs de tableau.

Table

Balises et attributs de table
BaliseAttributs
tableid, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Légendes de tableau

Balises et attributs de légendes de tableau
BaliseAttributs
captionid, lang, dir, title, style

Groupe de lignes

Balises et attributs de groupe de lignes
BaliseAttributs
threadcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfootcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbodyid, class, lang, dir, title, style, align, char, charoff, valign
preid, class, lang, dir, title, style

Groupes de colonnes

Balises et attributs de groupe de colonnes
BaliseAttributs
colgroupspan, width, id, class, lang, dir, title, style, align, char, charoff, valign
colspan, width, id, class, lang, dir, title, style, align, char, charoff, valign

Lignes de tableau

Balises et attributs de ligne de tableau
BaliseAttributs
trid, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Cellules de tableau

Balises et attributs de cellule de tableau
BaliseAttributs
ièmeabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
tdabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Balises et attributs d'applications Web hybride et de ressources multimédia intégrées

Le fichier default-policy.xml est fourni avec ces balises et attributs d'applications Web hybride et de ressources multimédia intégrées.

Partenaires

Balises et attributs d'applications Web hybride et de ressources multimédia intégrées
BaliseAttributs
scripttype, charset, src
iframesrc=commence par SafeHTML Restricted Youtube Sources ou building blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Images

Balises et attributs d'image
BaliseAttributs
imgsrc, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

Balises et attributs YouTube
BaliseAttributs
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=commence par SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
incorporersrc=commence par SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=commence par http(s)://www.youtube.com ou http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

SlideShare

Balises et attributs SlideShare
BaliseAttributs
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
incorporersrc=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling

Autres types de ressource multimédia, y compris Flash

Balises et attributs d'autres types de ressource multimédia
BaliseAttributsCommentaires
objectcodebase, name, align, hspace, vspace, bgcolor, classid 
paramname=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=falsePeut contenir d'autres paramètres, mais ceux-ci doivent toujours être présents pour d'autres sources que YouTube et SlideShare.
incorporerallowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

allowScriptAccess=never doit toujours être présent pour Flash

allowNetworking=none doit toujours être présent pour Flash

allowFullScreen=false doit toujours être présent pour Flash

« type » n'est actuellement pas restreint à nos types de ressources multimédia prises en charge, mais la stratégie par défaut sera finalement limitée à :

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframesrc=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling