사용자는 Blackboard Learn에서 다양한 방식으로 HTML을 입력할 수 있습니다. 예를 들어 사용자는 블로그와 토론 게시판에서 콘텐츠 편집기를 사용하여 HTML을 입력할 수 있으며, HTML 파일 업로드를 통해 HTML을 입력할 수 있습니다. 과거에는 사용자가 스크립트 태그와 같이 잠재적으로 위험한 태그를 입력할 수 있었기 때문에 보안 위협이 유입되었습니다. 이러한 태그를 사용하여 Blackboard Learn에서 악성 스크립트를 실행할 수 있으므로 다른 사용자가 공격에 노출될 수 있습니다. 이를 교차 사이트 스크립팅이라고 하며 이를 통해 사용자가 다른 사용자 브라우저를 컨트롤할 수 있습니다.

안전한 HTML 필터는 학생이 입력할 수 있는 HTML의 유형을 더 효과적으로 컨트롤할 수 있게 해주므로 이를 통해 사용자 제공 HTML을 Blackboard Learn에서 더 안전하게 사용할 수 있습니다. 이 기능을 사용하면 이전 HTML 삭제기가 Open Web Application Security Project의 AntiSamy API에 있는 오픈 소스 보안 라이브러리로 대체됩니다. 새 API를 사용하면 사용자 제공 HTML이 애플리케이션의 규칙에 부합하게 됩니다.

Blackboard Learn에서는 관리자에게 안전한 HTML 규칙이 포함된 default-policy.xml 파일을 제공합니다. 관리자는 조직의 위험 허용 수준을 기반으로 하여 Blackboard Learn 인스턴스에 있는 허용 가능한 default-policy.xml 파일에서 HTML 태그 및 속성을 정의할 수 있습니다.

default-policy.xml 파일을 사용자 지정하고 Blackboard가 파일의 기본 버전을 변경하면 이전 Blackboard 기본 파일의 이름이 변경되어 이전 버전임을 나타냅니다. Blackboard의 새 default-policy.xml 파일이 정책에 추가되고 활성 정책으로 설정됩니다. 이메일을 통해 파일 업데이트에 대한 알림을 받게 됩니다. 사용자 지정 정책은 변경되지 않습니다.

안전한 HTML은 '신뢰할 수 있는 콘텐츠 추가/수정' 권한('스크립트를 사용하여 신뢰할 수 있는 콘텐츠 추가/수정' 권한이라고도 함)이 없는 사용자에게만 적용됩니다. 이 권한을 지닌 사용자는 무제한/신뢰할 수 있는 HTML을 입력할 수 있으며, 이는 해당 사용자가 안전한 HTML 규칙에만 제한되어 있지 않음을 의미합니다. 기본적으로 Blackboard Learn에서는 이 권한을 관리자, 코스 생성자, 채점자, 교수자 및 조교에게 부여합니다. 다른 모든 역할에는 기본적으로 이 권한이 없지만, 필요에 따라 추가될 수 있습니다.

관리자 패널보안 메뉴에서 안전한 HTML 필터를 선택합니다.

Blackboard Learn SaaS 환경은 HTML 필터를 통해 사용자 지정 파일 유형을 필터링하도록 구성할 수 없습니다.


정책 사용자 지정하기

관리자는 조직의 요구 사항을 기반으로 하여 default-policy.xml 파일에서 허용 가능한 HTML 태그 및 속성의 목록을 사용자 지정할 수 있습니다. 단, 이렇게 하는 경우는 매우 드뭅니다. 관리자는 정책에서 지원하지 않는 특정한 사용 사례가 있는 경우에만 정책을 사용자 지정하면 됩니다.

  1. 관리자 패널보안 메뉴에서 안전한 HTML 필터를 선택합니다.
  2. 정책 목록에 접근하려면 콘텐츠 편집기용 안전한 HTML 필터를 선택합니다.
  3. default-policy.xml의 메뉴에 접근하고 다운로드를 선택합니다. 컴퓨터에 파일을 저장합니다.
  4. 조직의 요구 사항을 충족하도록 안전한 HTML 규칙을 변경합니다.
  5. 파일을 수정한 경우 새 이름을 입력합니다.
  6. 정책 목록에 접근하려면 콘텐츠 편집기용 안전한 HTML 필터 페이지로 돌아갑니다.
  7. 업로드를 선택하여 안전한 HTML 정책 업로드 페이지에 접근하고 새 파일을 찾습니다.
  8. 원하는 경우 설명을 입력합니다.
  9. 제출을 선택하여 새 파일을 업로드합니다.
  10. 새 파일이 정책 파일의 목록에 나타납니다. 파일의 메뉴에서 활성화를 선택하여 해당 파일을 Blackboard Learn 환경에서 활성화된 정책 파일로 설정합니다.

정책 테스트

관리자는 테스트를 통해 정책이 제대로 작동하고 원하는 결과가 얻어지는지 확인할 수 있습니다.

  1. 관리자 패널보안 메뉴에서 안전한 HTML 필터를 선택합니다.
  2. 콘텐츠 편집기용 안전한 HTML 필터를 선택합니다.
  3. 정책 파일의 메뉴에서 정책 테스트를 선택합니다.
  4. 테스트할 코드(HTML, JS) 입력 필드에 테스트할 HTML 코드를 입력합니다.
  5. 테스트를 선택합니다.

입력한 HTML 코드를 기반으로 다음과 같은 테스트 결과가 제공됩니다.

  • 입력한 HTML에 대한 시스템 삭제 출력을 표시하는 새로운 삭제된 출력 필드가 나타납니다.
  • 입력한 스크립트 태그가 정책에서 허용되지 않는 경우 보안상의 이유로 스크립트가 허용되지 않음을 알려주는 메시지가 나타납니다.
  • 태그에는 처리할 수 없는 속성이 포함되어 있을 수 있습니다. 이 경우 처리할 수 없으며 필터링된 속성이 포함된 태그와 함께 메시지가 나타납니다.

HTML 본문 태그 및 속성

default-policy.xml 파일에서는 다음과 같은 본문 태그 및 속성이 허용됩니다.

요소 그룹화

HTML 본문 태그 및 속성
태그속성
divid, class, lang, dir, title, style, align
spanid, class, dir, title, style, align, xml:lang

머리글

머리글
태그속성
h1id, class, lang, dir, title, style, align
h2id, class, lang, dir, title, style, align
h3id, class, lang, dir, title, style, align
h4id, class, lang, dir, title, style, align
h5id, class, lang, dir, title, style, align
h6id, class, lang, dir, title, style, align

주소

주소
태그속성
addressid, class, lang, dir, title, style

글꼴 스타일, HR 태그 및 속성

default-policy.xml 파일은 다음과 같은 글꼴 스타일, HR 태그 및 속성과 함께 제공됩니다.

글꼴 스타일

글꼴 스타일, HR 태그 및 속성
태그속성
ttid, class, lang, dir, title, style
iid, class, lang, dir, title, style
bid, class, lang, dir, title, style
bigid, class, lang, dir, title, style
smallid, class, lang, dir, title, style

HR

HR
태그속성
hrid, class, lang, dir, title, style

목록 태그 및 속성

default-policy.xml 파일은 다음과 같은 목록 태그 및 속성과 함께 제공됩니다.

정렬되지 않은 목록, 정렬된 목록 및 목록 항목

목록 태그 및 속성
태그속성
ulid, class, lang, dir, title, style
liid, class, lang, dir, title, style
olid, class, lang, dir, title, style

정의 목록

정의 목록
태그속성
dlid, class, lang, dir, title, style
dtid, class, lang, dir, title, style
ddid, class, lang, dir, title, style
dirid, class, dir, title, style, compact
menuid, class, lang, dir, title, style, compact

링크 태그 및 속성

default-policy.xml 파일은 다음과 같은 링크 태그 및 속성과 함께 제공됩니다.

링크

링크 태그 및 속성
태그속성
aclass, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
linkhttp://www.w3schools.com/tags/tag_link.asp를 참조하십시오.

텍스트 태그 및 속성

default-policy.xml 파일은 다음과 같은 텍스트 태그 및 속성과 함께 제공됩니다.

구문 요소

텍스트 태그 및 속성
태그속성
emid, class, lang, dir, title, style
strongid, class, lang, dir, title, style
citeid, class, lang, dir, title, style
dfnid, class, lang, dir, title, style
codeid, class, lang, dir, title, style
sampid, class, lang, dir, title, style
kbdid, class, lang, dir, title, style
varid, class, lang, dir, title, style
abbrid, class, lang, dir, title, style
acronymid, class, lang, dir, title, style

인용구

인용구 태그 및 속성
태그속성
blockquoteid, class, lang, dir, title, style
qid, class, lang, dir, title, style

아래 첨자 및 위 첨자

아래 첨자 및 위 첨자 태그 및 속성
태그속성
subid, class, lang, dir, title, style
supid, class, lang, dir, title, style

줄 및 단락

줄 및 단락 태그 및 속성
태그속성
pid, class, lang, dir, title, stye, align
brid, class, title, style, clear
preid, class, lang, dir, title, style

문서 변경 사항 표시

문서 변경 사항 표시 태그 및 속성
태그속성
insid, class, lang, dir, title, style
delid, class, lang, dir, title, style

표 태그 및 속성

default-policy.xml 파일은 다음과 같은 표 태그 및 속성과 함께 제공됩니다.

표 태그 및 속성
태그속성
tableid, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

표 캡션

표 캡션 태그 및 속성
태그속성
captionid, lang, dir, title, style

행 그룹

행 그룹 태그 및 속성
태그속성
threadcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfootcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbodyid, class, lang, dir, title, style, align, char, charoff, valign
preid, class, lang, dir, title, style

열 그룹

열 그룹 태그 및 속성
태그속성
colgroupspan, width, id, class, lang, dir, title, style, align, char, charoff, valign
colspan, width, id, class, lang, dir, title, style, align, char, charoff, valign

표 행

표 행 태그 및 속성
태그속성
trid, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

표 셀

표 셀 태그 및 속성
태그속성
thabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
tdabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

삽입된 미디어 및 매시업 태그 및 속성

default-policy.xml 파일은 이러한 삽입된 미디어와 매시업 태그 및 속성과 함께 제공됩니다.

파트너

삽입된 미디어 및 매시업 태그 및 속성
태그속성
scripttype, charset, src
iframesrc=SafeHTML 제한 Youtube 소스 또는 빌딩 블록, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling으로 시작

이미지

이미지 태그 및 속성
태그속성
imgsrc, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

YouTube 태그 및 속성
태그속성
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=SafeHTML 제한 Youtube 소스로 시작, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
embedsrc=SafeHTML 제한 Youtube 소스로 시작, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=http(s)://www.youtube.com 또는 http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling으로 시작

Slideshare

Slideshare 태그 및 속성
태그속성
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=http(s)://static.slidesharecdn.com/ 또는 http(s)://www.slideshare.net/으로 시작, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
embedsrc=http(s)://static.slidesharecdn.com/ 또는 http(s)://www.slideshare.net/으로 시작, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=http(s)://static.slidesharecdn.com/ 또는 http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling으로 시작

플래시를 비롯한 기타 미디어 유형

기타 미디어 유형 태그 및 속성
태그속성설명
objectcodebase, name, align, hspace, vspace, bgcolor, classid 
paramname=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false다른 매개변수를 포함할 수 있지만 이러한 매개변수는 항상 youtube 및 slideshare 이외의 소스에 대해 존재해야 합니다.
embedallowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

allowScriptAccess=never가 항상 플래시용으로 존재해야 함

allowNetworking=none이 항상 플래시용으로 존재해야 함

allowFullScreen=false가 항상 플래시용으로 존재해야 함

'유형'은 현재 Blackboard에서 지원하는 미디어 유형으로 제한되어 있지 않지만, 최종적으로 기본 정책은 다음과 같은 항목으로 제한됩니다.

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframesrc=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling