Les utilisateurs peuvent entrer du code HTML dans Blackboard Learn de diverses manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Par le passé, une menace pour la sécurité a été introduite, car les utilisateurs pouvaient entrer des balises potentiellement dangereuses, telles que des balises de script. Ces balises pourraient être utilisées pour exécuter des scripts malveillants dans Blackboard Learn, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle la Cross Scripting, qui permet à un utilisateur de contrôler d'autres navigateurs d'utilisateurs.

Les filtres HTML sécurisés vous garantissent davantage de contrôle sur le type de code HTML que les étudiants peuvent saisir, ce qui rend le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard Learn. La fonction remplace un assainisseur HTML antérieur par la bibliothèque de sécurité libre de l'API AntiSamy Open Web Application Security Project. La nouvelle API garantit que le format HTML fourni par l'utilisateur est conforme aux règles d'une application.

Blackboard Learn fournit aux administrateurs un fichier default-policy.xml contenant des règles HTML sécurisées. Les administrateurs peuvent définir les balises et les attributs HTML autorisés sur leur instance Blackboard Learn dans le fichier default-policy.xml, en fonction du niveau de tolérance aux risques de votre communauté.

Le code HTML sécurisé ne s'applique qu'aux utilisateurs qui ne disposent pas du privilège Ajouter/modifier un contenu sécurisé (également appelé privilège Ajouter/modifier un contenu sécurisé avec des scripts). Les utilisateurs disposant de ce privilège peuvent saisir des codes HTML non restreints/fiables, ce qui signifie qu'ils ne sont pas liés aux règles HTML sécurisées. Par défaut, Blackboard Learn octroie ce privilège aux administrateurs, aux concepteurs de cours, aux notants, aux professeurs et aux assistants. Tous les autres rôles ne disposent pas de ce privilège par défaut, mais ils peuvent être ajoutés en fonction des besoins.

Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.

Les environnements Blackboard Learn SaaS ne peuvent pas être configurés pour filtrer les types de fichiers personnalisés via des filtres HTML.


Personnaliser une règle

Les administrateurs peuvent personnaliser la liste des balises et des attributs HTML autorisés dans le fichier default-policy.xml en fonction des besoins de leurs communautés. Cependant, cela doit rester un événement rare. Les administrateurs doivent uniquement personnaliser la stratégie s'ils rencontrent un cas d'utilisation spécifique que la règle ne prend pas en charge.

  1. Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
  2. Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
  3. Accédez au menu pour le fichier default-policy.xml et sélectionnez Télécharger. Enregistrez le fichier sur votre ordinateur.
  4. Apportez les modifications souhaitées à la règle SafeHTML pour répondre aux besoins de votre communauté.
  5. Une fois que vous avez modifié le fichier, saisissez un nouveau nom.
  6. Retournez sur la page Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
  7. Sélectionnez Charger pour accéder à la page Envoyer la règle HTML sécurisé et recherchez votre nouveau fichier.
  8. Vous pouvez également saisir un commentaire.
  9. Sélectionnez Soumettre pour télécharger le nouveau fichier.
  10. Le nouveau fichier apparaît dans la liste des fichiers de règle. Dans le menu du fichier, sélectionnez Activer pour en faire le fichier de règle actif dans votre environnement Blackboard Learn.

Tester une règle

Les administrateurs peuvent tester les stratégies pour s'assurer de leur bon fonctionnement et obtenir les résultats souhaités.

  1. Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
  2. Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu.
  3. Depuis le menu du fichier de stratégie, sélectionnez Tester la règle.
  4. Dans le champ Saisissez le code (HTML, JS) à tester, saisissez le code HTML que vous souhaitez tester.
  5. Sélectionnez Test.

Le système fournit des résultats des tests, en fonction du code HTML saisi, tels que ceux-ci :

  • Un nouveau champ Sortie assainie apparaît, vous indiquant la sortie assainie par le système pour le code HTML que vous avez saisi.
  • Si la balise de script que vous avez saisie n'est pas autorisée par la règle, un message s'affiche pour vous informer que le script n'est pas autorisé pour des raisons de sécurité.
  • Une balise peut contenir un attribut qui ne peut pas être traité. Dans ce cas, un message apparaît avec la balise qui contient un attribut qui ne peut pas être traité et qui a été filtré.

Balises et attributs du corps HTML

Le fichier default-policy.xml autorise ces balises et attributs de corps.

Regroupement d'éléments

Balises et attributs du corps HTML
Balise Attributs
div id, class, lang, dir, title, style, align
span id, class, dir, title, style, align, xml:lang

En-têtes

En-têtes
Balise Attributs
h1 id, class, lang, dir, title, style, align
h2 id, class, lang, dir, title, style, align
h3 id, class, lang, dir, title, style, align
h4 id, class, lang, dir, title, style, align
h5 id, class, lang, dir, title, style, align
h6 id, class, lang, dir, title, style, align

Adresse

Adresse
Balise Attributs
votre adresse id, class, lang, dir, title, style

Style de police et balises et attributs HR

Le fichier default-policy.xml est fourni avec ce style de police et ces balises et attributs HR.

Style de police

Style de police et balises et attributs HR
Balise Attributs
tt id, class, lang, dir, title, style
i id, class, lang, dir, title, style
b id, class, lang, dir, title, style
big id, class, lang, dir, title, style
small id, class, lang, dir, title, style

HR

HR
Balise Attributs
hr id, class, lang, dir, title, style

Répertorier les balises et les attributs

Le fichier default-policy.xml est fourni avec ces balises et attributs de liste.

Listes non classées, listes classées et éléments de liste

Balises et attributs de liste
Balise Attributs
ul id, class, lang, dir, title, style
li id, class, lang, dir, title, style
ol id, class, lang, dir, title, style

Listes de définitions

Listes de définitions
Balise Attributs
dl id, class, lang, dir, title, style
dt id, class, lang, dir, title, style
dd id, class, lang, dir, title, style
dir id, class, dir, title, style, compact
menu id, class, lang, dir, title, style, compact

Balises et attributs de lien

Le fichier default-policy.xml est fourni avec ces balises et attributs de lien.

Liens

Balises et attributs de lien
Balise Attributs
a class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
link Consultez la page http://www.w3schools.com/tags/tag_link.asp.

Balises et attributs de texte

Le fichier default-policy.xml est fourni avec ces balises et attributs de texte.

Éléments d'expression

Balises et attributs de texte
Balise Attributs
em id, class, lang, dir, title, style
strong id, class, lang, dir, title, style
cite id, class, lang, dir, title, style
dfn id, class, lang, dir, title, style
code id, class, lang, dir, title, style
samp id, class, lang, dir, title, style
kbd id, class, lang, dir, title, style
var id, class, lang, dir, title, style
abbr id, class, lang, dir, title, style
acronym id, class, lang, dir, title, style

Guillemets

Balises et attributs de guillemets
Balise Attributs
blockquote id, class, lang, dir, title, style
q id, class, lang, dir, title, style

Indices et exposants

Balises et attributs d'indice et d'exposant
Balise Attributs
sub id, class, lang, dir, title, style
sup id, class, lang, dir, title, style

Lignes et paragraphes

Balises et attributs de ligne et de paragraphe
Balise Attributs
p id, class, lang, dir, title, stye, align
br id, class, title, style, clear
pre id, class, lang, dir, title, style

Marquage des modifications de documents

Balises et attributs de marquage des modifications de document
Balise Attributs
ins id, class, lang, dir, title, style
del id, class, lang, dir, title, style

Balises et attributs de table

Le fichier default-policy.xml est fourni avec ces balises et attributs de tableau.

Table

Balises et attributs de table
Balise Attributs
table id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Légendes de tableau

Balises et attributs de légendes de tableau
Balise Attributs
caption id, lang, dir, title, style

Groupe de lignes

Balises et attributs de groupe de lignes
Balise Attributs
thread cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfoot cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbody id, class, lang, dir, title, style, align, char, charoff, valign
pre id, class, lang, dir, title, style

Groupes de colonnes

Balises et attributs de groupe de colonnes
Balise Attributs
colgroup span, width, id, class, lang, dir, title, style, align, char, charoff, valign
col span, width, id, class, lang, dir, title, style, align, char, charoff, valign

Lignes de tableau

Balises et attributs de ligne de tableau
Balise Attributs
tr id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Cellules de tableau

Balises et attributs de cellule de tableau
Balise Attributs
ième abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
td abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Balises et attributs d'applications Web hybride et de ressources multimédia intégrées

Le fichier default-policy.xml est fourni avec ces balises et attributs d'applications Web hybride et de ressources multimédia intégrées.

Partenaires

Balises et attributs d'applications Web hybride et de ressources multimédia intégrées
Balise Attributs
script type, charset, src
iframe src=commence par SafeHTML Restricted Youtube Sources ou building blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Images

Balises et attributs d'image
Balise Attributs
img src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

Balises et attributs YouTube
Balise Attributs
object classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
param name=movie, value=commence par SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
incorporer src=commence par SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframe src=commence par http(s)://www.youtube.com ou http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

SlideShare

Balises et attributs SlideShare
Balise Attributs
object classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
param name=movie, value=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
incorporer src=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframe src=commence par http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling

Autres types de ressource multimédia, y compris Flash

Balises et attributs d'autres types de ressource multimédia
Balise Attributs Commentaires
object codebase, name, align, hspace, vspace, bgcolor, classid  
param name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false Peut contenir d'autres paramètres, mais ceux-ci doivent toujours être présents pour d'autres sources que YouTube et SlideShare.
incorporer allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang allowScriptAccess=never doit toujours être présent pour Flash

allowNetworking=none doit toujours être présent pour Flash

allowFullScreen=false doit toujours être présent pour Flash

« type » n'est actuellement pas restreint à nos types de ressources multimédia prises en charge, mais la stratégie par défaut sera finalement limitée à :

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframe src=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling