Les utilisateurs peuvent saisir du code HTML dans Blackboard Learn de diverses manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Par le passé, une menace pour la sécurité a été introduite, car les utilisateurs pouvaient entrer des balises potentiellement dangereuses, telles que des balises de script. Ces balises pourraient être utilisées pour exécuter des scripts malveillants dans Blackboard Learn, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle la Cross Scripting, qui permet à un utilisateur de contrôler d'autres navigateurs d'utilisateurs.
Les filtres HTML sécurisés vous garantissent davantage de contrôle sur le type de code HTML que les étudiants peuvent saisir, ce qui rend le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard Learn. La fonction remplace un assainisseur HTML antérieur par la bibliothèque de sécurité libre de l'API AntiSamy Open Web Application Security Project. La nouvelle API garantit que le format HTML fourni par l'utilisateur est conforme aux règles d'une application.
Blackboard Learn fournit aux administrateurs un fichier default-policy.xml contenant des règles HTML sécurisées. Les administrateurs peuvent définir les balises et les attributs HTML autorisés sur leur instance Blackboard Learn dans le fichier default-policy.xml, en fonction du niveau de tolérance aux risques de votre communauté.
Si vous avez personnalisé votre fichier default-policy.xml et que Blackboard apporte des modifications à la version par défaut du fichier, le précédent fichier Blackboard par défaut est renommé pour indiquer qu’il s’agit d’une ancienne version. Le nouveau fichier default-policy.xml modifié par Blackboard est ajouté à vos stratégies et est défini comme votre stratégie active. Vous serez informé de la mise à jour du fichier par e-mail. Votre propre politique personnalisée restera inchangée.
Le code HTML sécurisé ne s'applique qu'aux utilisateurs qui ne disposent pas du privilège Ajouter/modifier un contenu sécurisé (également appelé privilège Ajouter/modifier un contenu sécurisé avec des scripts). Les utilisateurs disposant de ce privilège peuvent saisir des codes HTML non restreints/fiables, ce qui signifie qu'ils ne sont pas liés aux règles HTML sécurisées. Par défaut, Blackboard Learn octroie ce privilège aux administrateurs, aux concepteurs de cours, aux notants, aux professeurs et aux assistants. Tous les autres rôles ne disposent pas de ce privilège par défaut, mais ils peuvent être ajoutés en fonction des besoins.
Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
Les environnements Blackboard Learn SaaS ne peuvent pas être configurés pour filtrer les types de fichiers personnalisés via des filtres HTML.
Personnaliser une règle
Les administrateurs peuvent personnaliser la liste des balises et des attributs HTML autorisés dans le fichier default-policy.xml en fonction des besoins de leurs communautés. Cependant, cela doit rester un événement rare. Les administrateurs doivent uniquement personnaliser la stratégie s'ils rencontrent un cas d'utilisation spécifique que la règle ne prend pas en charge.
- Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
- Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
- Accédez au menu pour le fichier default-policy.xml et sélectionnez Télécharger. Enregistrez le fichier sur votre ordinateur.
- Apportez les modifications souhaitées à la règle SafeHTML pour répondre aux besoins de votre communauté.
- Une fois que vous avez modifié le fichier, saisissez un nouveau nom.
- Retournez sur la page Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
- Sélectionnez Charger pour accéder à la page Envoyer la règle HTML sécurisé et recherchez votre nouveau fichier.
- Vous pouvez également saisir un commentaire.
- Sélectionnez Valider pour télécharger le nouveau fichier.
- Le nouveau fichier apparaît dans la liste des fichiers de règle. Dans le menu du fichier, sélectionnez Activer pour en faire le fichier de règle actif dans votre environnement Blackboard Learn.
Tester une règle
Les administrateurs peuvent tester les stratégies pour s'assurer de leur bon fonctionnement et obtenir les résultats souhaités.
- Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
- Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu.
- Depuis le menu du fichier de stratégie, sélectionnez Tester la règle.
- Dans le champ Saisissez le code (HTML, JS) à tester, saisissez le code HTML que vous souhaitez tester.
- Sélectionnez Test.
Le système fournit des résultats des tests, en fonction du code HTML saisi, tels que ceux-ci :
- Un nouveau champ Sortie assainie apparaît, vous indiquant la sortie assainie par le système pour le code HTML que vous avez saisi.
- Si la balise de script que vous avez saisie n'est pas autorisée par la règle, un message s'affiche pour vous informer que le script n'est pas autorisé pour des raisons de sécurité.
- Une balise peut contenir un attribut qui ne peut pas être traité. Dans ce cas, un message apparaît avec la balise qui contient un attribut qui ne peut pas être traité et qui a été filtré.
Balises et attributs du corps HTML
Le fichier default-policy.xml autorise ces balises et attributs de corps.
Regroupement d'éléments
Balises et attributs du corps HTMLBalise | Attributs |
---|
div | id, class, lang, dir, title, style, align |
span | id, class, dir, title, style, align, xml:lang |
En-têtes
En-têtesBalise | Attributs |
---|
h1 | id, class, lang, dir, title, style, align |
h2 | id, class, lang, dir, title, style, align |
h3 | id, class, lang, dir, title, style, align |
h4 | id, class, lang, dir, title, style, align |
h5 | id, class, lang, dir, title, style, align |
h6 | id, class, lang, dir, title, style, align |
Adresse
AdresseBalise | Attributs |
---|
votre adresse | id, class, lang, dir, title, style |
Style de police et balises et attributs HR
Le fichier default-policy.xml est fourni avec ce style de police et ces balises et attributs HR.
Style de police
Style de police et balises et attributs HRBalise | Attributs |
---|
tt | id, class, lang, dir, title, style |
i | id, class, lang, dir, title, style |
b | id, class, lang, dir, title, style |
big | id, class, lang, dir, title, style |
small | id, class, lang, dir, title, style |
HR
HRBalise | Attributs |
---|
hr | id, class, lang, dir, title, style |
Répertorier les balises et les attributs
Le fichier default-policy.xml est fourni avec ces balises et attributs de liste.
Listes non classées, listes classées et éléments de liste
Balises et attributs de listeBalise | Attributs |
---|
ul | id, class, lang, dir, title, style |
li | id, class, lang, dir, title, style |
ol | id, class, lang, dir, title, style |
Listes de définitions
Listes de définitionsBalise | Attributs |
---|
dl | id, class, lang, dir, title, style |
dt | id, class, lang, dir, title, style |
dd | id, class, lang, dir, title, style |
dir | id, class, dir, title, style, compact |
menu | id, class, lang, dir, title, style, compact |
Balises et attributs de lien
Le fichier default-policy.xml est fourni avec ces balises et attributs de lien.
Liens
Balises et attributs de lienBalise | Attributs |
---|
a | class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
link | Consultez la page http://www.w3schools.com/tags/tag_link.asp. |
Balises et attributs de texte
Le fichier default-policy.xml est fourni avec ces balises et attributs de texte.
Éléments d'expression
Balises et attributs de texteBalise | Attributs |
---|
em | id, class, lang, dir, title, style |
strong | id, class, lang, dir, title, style |
cite | id, class, lang, dir, title, style |
dfn | id, class, lang, dir, title, style |
code | id, class, lang, dir, title, style |
samp | id, class, lang, dir, title, style |
kbd | id, class, lang, dir, title, style |
var | id, class, lang, dir, title, style |
abbr | id, class, lang, dir, title, style |
acronym | id, class, lang, dir, title, style |
Guillemets
Balises et attributs de guillemetsBalise | Attributs |
---|
blockquote | id, class, lang, dir, title, style |
q | id, class, lang, dir, title, style |
Indices et exposants
Balises et attributs d'indice et d'exposantBalise | Attributs |
---|
sub | id, class, lang, dir, title, style |
sup | id, class, lang, dir, title, style |
Lignes et paragraphes
Balises et attributs de ligne et de paragrapheBalise | Attributs |
---|
p | id, class, lang, dir, title, stye, align |
br | id, class, title, style, clear |
pre | id, class, lang, dir, title, style |
Marquage des modifications de documents
Balises et attributs de marquage des modifications de documentBalise | Attributs |
---|
ins | id, class, lang, dir, title, style |
del | id, class, lang, dir, title, style |
Balises et attributs de table
Le fichier default-policy.xml est fourni avec ces balises et attributs de tableau.
Table
Balises et attributs de tableBalise | Attributs |
---|
table | id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Légendes de tableau
Balises et attributs de légendes de tableauBalise | Attributs |
---|
caption | id, lang, dir, title, style |
Groupe de lignes
Balises et attributs de groupe de lignesBalise | Attributs |
---|
thread | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tfoot | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tbody | id, class, lang, dir, title, style, align, char, charoff, valign |
pre | id, class, lang, dir, title, style |
Groupes de colonnes
Balises et attributs de groupe de colonnesBalise | Attributs |
---|
colgroup | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
col | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Lignes de tableau
Balises et attributs de ligne de tableauBalise | Attributs |
---|
tr | id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Cellules de tableau
Balises et attributs de cellule de tableauBalise | Attributs |
---|
ième | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
td | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Balises et attributs d'applications Web hybride et de ressources multimédia intégrées
Le fichier default-policy.xml est fourni avec ces balises et attributs d'applications Web hybride et de ressources multimédia intégrées.
Partenaires
Balises et attributs d'applications Web hybride et de ressources multimédia intégréesBalise | Attributs |
---|
script | type, charset, src |
iframe | src=commence par SafeHTML Restricted Youtube Sources ou building blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Images
Balises et attributs d'imageBalise | Attributs |
---|
img | src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
YouTube
Balises et attributs YouTubeBalise | Attributs |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
incorporer | src=commence par SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http(s)://www.youtube.com ou http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
SlideShare
Balises et attributs SlideShareBalise | Attributs |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
incorporer | src=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling |
Autres types de ressource multimédia, y compris Flash
Balises et attributs d'autres types de ressource multimédiaBalise | Attributs | Commentaires |
---|
object | codebase, name, align, hspace, vspace, bgcolor, classid | |
param | name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false | Peut contenir d'autres paramètres, mais ceux-ci doivent toujours être présents pour d'autres sources que YouTube et SlideShare. |
incorporer | allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang | allowScriptAccess=never doit toujours être présent pour Flash allowNetworking=none doit toujours être présent pour Flash allowFullScreen=false doit toujours être présent pour Flash « type » n'est actuellement pas restreint à nos types de ressources multimédia prises en charge, mais la stratégie par défaut sera finalement limitée à : - video/quicktime
- application/x-shockwave-flash
- application/x-director
- application/x-mplayer2
|
iframe | src=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling | |