Gebruikers kunnen op verschillende manieren HTML invoeren in Blackboard Learn. Ze kunnen bijvoorbeeld HTML invoeren met de inhoudseditor in blogs en discussieruimten, en via het uploaden van HTML-bestanden. In het verleden kon er een beveiligingsprobleem worden geïntroduceerd omdat gebruikers potentieel gevaarlijke tags konden invoeren, zoals scripttags. Dergelijke tags konden worden gebruikt voor het uitvoeren van kwaadwillende code in Blackboard Learn, waardoor andere gebruikers werden blootgesteld aan aanvallen. Dit wordt 'cross scripting' genoemd en stelt een gebruiker in staat om controle te hebben over de browser van andere gebruikers.
Veilige HTML-filters geven je meer controle over het type HTML dat studenten kunnen invoeren, zodat door gebruikers aangeboden HTML veiliger te gebruiken is in Blackboard Learn. De functie vervangt een eerdere HTML-sanitizer door de open-source beveiligingsbibliotheek van de AntiSamy-API van het Open Web Application Security Project. De nieuwe API zorgt ervoor dat HTML van gebruikers voldoet aan de regels van een toepassing.
Beheerders van Blackboard Learn hebben de beschikking over het bestand default-policy.xml, met daarin regels van Veilige HTML. Beheerders kunnen in het bestand default-policy.xml de HTML-tags en -kenmerken definiëren die zijn toegestaan in hun exemplaar van Blackboard Learn, gebaseerd op het risicotolerantieniveau van hun organisatie.
Als je je bestand default-policy.xml hebt aangepast en Blackboard brengt wijzigingen aan de standaardversie van het bestand aan, dan wordt het vorige standaardbestand van Blackboard hernoemd om aan te geven dat het een oude versie is. Het nieuwe bestand default-policy.xml van Blackboard is toegevoegd aan je beleidsregels en is ingesteld als je actieve beleid. Je krijgt via e-mail een bericht van de bestandsupdate. Je eigen aangepaste beleid blijft ongewijzigd.
Veilige HTML is alleen van toepassing op gebruikers die niet beschikken over de bevoegdheid Vertrouwde inhoud met scripts toevoegen/bewerken. Gebruikers met deze bevoegdheid kunnen vertrouwde HTML/HTML zonder beperkingen invoeren, wat betekent dat ze zich niet hoeven te houden aan de regels van veilige HTML. De standaardinstelling is dat Blackboard Learn deze bevoegdheid verleent aan beheerders, cursusbouwers, beoordelaars, cursusleiders en onderwijsassistenten. Alle andere rollen beschikken standaard niet over deze bevoegdheid, maar de bevoegdheid kan indien nodig worden toegevoegd.
Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
Omgevingen met Blackboard Learn SaaS kunnen niet worden geconfigureerd voor het filteren van aangepaste bestandstypen via HTML-filters.
Een beleid aanpassen
Beheerders kunnen de lijst met toegestane HTML-tags en -kenmerken in het bestand default-policy.xml aanpassen aan de specifieke behoeften van hun organisatie. Dit wordt echter afgeraden. Beheerders mogen het beleid alleen aanpassen als er sprake is van een specifieke gebruikssituatie die niet door het standaardbeleid wordt ondersteund.
- Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
- Selecteer Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
- Open het menu voor default-policy.xml en selecteer Downloaden. Sla het bestand op je computer op.
- Wijzig de SafeHTML-regel om te voldoen aan de behoeften van je organisatie.
- Als je het bestand hebt gewijzigd, sla je het op onder een nieuwe naam.
- Ga terug naar de pagina Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
- Selecteer Uploaden om de pagina Beleid voor veilige HTML uploaden en blader naar het nieuwe bestand.
- Voer desgewenst een opmerking in.
- Selecteer Verzenden om het nieuwe bestand te uploaden.
- Het nieuwe bestand verschijnt in de lijst met beleidsbestanden. Selecteer Activeren in het menu van het bestand om dit het actieve beleidsbestand te maken in de Blackboard Learn-omgeving.
Een beleid testen
Beheerders kunnen beleidsregels testen om er zeker van te zijn dat ze goed werken en de gewenste resultaten opleveren.
- Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
- Selecteer Veilig HTML-filter voor inhoudseditor.
- Selecteer Beleid testen in het menu van het beleidsbestand.
- Voer in het veld Voer de code (HTML, JS) in om te testen de HTML-code in die je wilt testen.
- Selecteer Testen.
Het systeem produceert testresultaten, gebaseerd op de ingevoerde HTML-code, zoals deze:
- Er verschijnt een nieuw veld Opgeschoonde uitvoer met de door het systeem opgeschoonde uitvoer voor de ingevoerde HTML.
- Als de ingevoerde scripttag niet is toegestaan door het beleid, verschijnt er een bericht met de mededeling dat het script vanwege veiligheidsredenen niet is toegestaan.
- Een tag kan een kenmerk bevatten dat niet kan worden verwerkt. In dit geval verschijnt er een melding met de tag die een kenmerk bevat dat niet kan worden verwerkt en daarom is uitgefilterd.
HTML-body-tags en -kenmerken
Het bestand default-policy.xml ondersteunt deze body-tags en -kenmerken.
Groeperingselementen
HTML-body-tags en -kenmerkenTag | Kenmerken |
---|
div | id, class, lang, dir, title, style, align |
span | id, class, dir, title, style, align, xml:lang |
Koppen
KoppenTag | Kenmerken |
---|
h1 | id, class, lang, dir, title, style, align |
h2 | id, class, lang, dir, title, style, align |
h3 | id, class, lang, dir, title, style, align |
h4 | id, class, lang, dir, title, style, align |
h5 | id, class, lang, dir, title, style, align |
h6 | id, class, lang, dir, title, style, align |
Je adres
Je adresTag | Kenmerken |
---|
uw adres | id, class, lang, dir, title, style |
Tags en kenmerken voor tekenstijl en HR
Het bestand default-policy.xml bevat deze tags en kenmerken voor tekenstijl en HR.
Tekenstijl
Tags en kenmerken voor tekenstijl en HRTag | Kenmerken |
---|
tt | id, class, lang, dir, title, style |
i | id, class, lang, dir, title, style |
b | id, class, lang, dir, title, style |
big | id, class, lang, dir, title, style |
small | id, class, lang, dir, title, style |
HR
HRTag | Kenmerken |
---|
hr | id, class, lang, dir, title, style |
Tags en kenmerken voor lijsten
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor lijsten.
Ongeordende lijsten, geordende lijsten en lijstitems
Tags en kenmerken voor lijstenTag | Kenmerken |
---|
ul | id, class, lang, dir, title, style |
li | id, class, lang, dir, title, style |
ol | id, class, lang, dir, title, style |
Definitielijsten
DefinitielijstenTag | Kenmerken |
---|
dl | id, class, lang, dir, title, style |
dt | id, class, lang, dir, title, style |
dd | id, class, lang, dir, title, style |
dir | id, class, dir, title, style, compact |
menu | id, class, lang, dir, title, style, compact |
Tags en kenmerken voor koppelingen
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor koppelingen.
Koppelingen
Tags en kenmerken voor koppelingenTag | Kenmerken |
---|
a | class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
link | Zie http://www.w3schools.com/tags/tag_link.asp. |
Tags en kenmerken voor tekst
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tekst.
Zinselementen
Tags en kenmerken voor tekstTag | Kenmerken |
---|
em | id, class, lang, dir, title, style |
strong | id, class, lang, dir, title, style |
cite | id, class, lang, dir, title, style |
dfn | id, class, lang, dir, title, style |
code | id, class, lang, dir, title, style |
samp | id, class, lang, dir, title, style |
kbd | id, class, lang, dir, title, style |
var | id, class, lang, dir, title, style |
abbr | id, class, lang, dir, title, style |
acronym | id, class, lang, dir, title, style |
Citaten
Tags en kenmerken voor citatenTag | Kenmerken |
---|
blockquote | id, class, lang, dir, title, style |
q | id, class, lang, dir, title, style |
Subscript en superscript
Tags en kenmerken voor subscript en superscriptTag | Kenmerken |
---|
sub | id, class, lang, dir, title, style |
sup | id, class, lang, dir, title, style |
Regels en alinea's
Tags en kenmerken voor regels en alinea'sTag | Kenmerken |
---|
p | id, class, lang, dir, title, stye, align |
br | id, class, title, style, clear |
pre | id, class, lang, dir, title, style |
Documentwijzigingen markeren
Tags en kenmerken voor markeren van documentwijzigingenTag | Kenmerken |
---|
ins | id, class, lang, dir, title, style |
del | id, class, lang, dir, title, style |
Tags en kenmerken voor tabellen
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tabellen.
Tabel
Tags en kenmerken voor tabellenTag | Kenmerken |
---|
table | id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Tabelbijschriften
Tags en kenmerken voor tabelbijschriftenTag | Kenmerken |
---|
caption | id, lang, dir, title, style |
Rijgroepen
Tags en kenmerken voor rijgroepenTag | Kenmerken |
---|
thread | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tfoot | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tbody | id, class, lang, dir, title, style, align, char, charoff, valign |
pre | id, class, lang, dir, title, style |
Kolomgroepen
Tags en kenmerken voor kolomgroepenTag | Kenmerken |
---|
colgroup | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
col | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Tabelrijen
Tags en kenmerken voor tabelrijenTag | Kenmerken |
---|
tr | id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tabelcellen
Tags en kenmerken voor tabelcellenTag | Kenmerken |
---|
de | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
td | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tags en kenmerken voor ingesloten media en mashups
Het bestand default-policy.xml bevat deze tags en kenmerken voor ingesloten media en mashups.
Partners
Tags en kenmerken voor ingesloten media en mashupsTag | Kenmerken |
---|
script | type, charset, src |
iframe | src=begint met SafeHTML, YouTube-bronnen of building blocks met beperkingen, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Afbeeldingen
Tags en kenmerken voor afbeeldingenTag | Kenmerken |
---|
img | src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
YouTube
Tags en kenmerken voor YouTubeTag | Kenmerken |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=begint met SafeHTML, YouTube-bronnen met beperkingen, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
insluiten | src=begint met SafeHTML, YouTube-bronnen met beperkingen, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=begint met http(s)://www.youtube.com of http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Slideshare
Tags en kenmerken voor SlideshareTag | Kenmerken |
---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
insluiten | src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling |
Andere mediatypen waaronder Flash
Tags en kenmerken voor andere mediatypenTag | Kenmerken | Opmerkingen |
---|
object | codebase, name, align, hspace, vspace, bgcolor, classid | |
param | name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false | Kan andere parameters bevatten, maar deze moeten altijd aanwezig zijn voor bronnen anders dan YouTube en Slideshare. |
insluiten | allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang | allowScriptAccess=never moet altijd aanwezig zijn voor Flash allowNetworking=none moet altijd aanwezig zijn voor Flash allowFullScreen=false moet altijd aanwezig zijn voor Flash 'type' is op dit moment niet beperkt tot onze ondersteunde mediatypen, maar het standaardbeleid zal uiteindelijk beperkt zijn tot: - video/quicktime
- application/x-shockwave-flash
- application/x-director
- application/x-mplayer2
|
iframe | src=beperkte lijst, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling | |