Gebruikers kunnen op verschillende manieren HTML invoeren in Blackboard Learn. Ze kunnen bijvoorbeeld HTML invoeren met de inhoudseditor in blogs en discussieruimten, en via het uploaden van HTML-bestanden. In het verleden kon er een beveiligingsprobleem worden geïntroduceerd omdat gebruikers potentieel gevaarlijke tags konden invoeren, zoals scripttags. Dergelijke tags konden worden gebruikt voor het uitvoeren van kwaadwillende code in Blackboard Learn, waardoor andere gebruikers werden blootgesteld aan aanvallen. Dit wordt 'cross scripting' genoemd en stelt een gebruiker in staat om controle te hebben over de browser van andere gebruikers.

Veilige HTML-filters geven je meer controle over het type HTML dat studenten kunnen invoeren, zodat door gebruikers aangeboden HTML veiliger te gebruiken is in Blackboard Learn. De functie vervangt een eerdere HTML-sanitizer door de open-source beveiligingsbibliotheek van de AntiSamy-API van het Open Web Application Security Project. De nieuwe API zorgt ervoor dat HTML van gebruikers voldoet aan de regels van een toepassing.

Beheerders van Blackboard Learn hebben de beschikking over het bestand default-policy.xml, met daarin regels van Veilige HTML. Beheerders kunnen in het bestand default-policy.xml de HTML-tags en -kenmerken definiëren die zijn toegestaan in hun exemplaar van Blackboard Learn, gebaseerd op het risicotolerantieniveau van hun organisatie.

Als je je bestand default-policy.xml hebt aangepast en Blackboard brengt wijzigingen aan de standaardversie van het bestand aan, dan wordt het vorige standaardbestand van Blackboard hernoemd om aan te geven dat het een oude versie is. Het nieuwe bestand default-policy.xml van Blackboard is toegevoegd aan je beleidsregels en is ingesteld als je actieve beleid. Je krijgt via e-mail een bericht van de bestandsupdate. Je eigen aangepaste beleid blijft ongewijzigd.

Veilige HTML is alleen van toepassing op gebruikers die niet beschikken over de bevoegdheid Vertrouwde inhoud met scripts toevoegen/bewerken. Gebruikers met deze bevoegdheid kunnen vertrouwde HTML/HTML zonder beperkingen invoeren, wat betekent dat ze zich niet hoeven te houden aan de regels van veilige HTML. De standaardinstelling is dat Blackboard Learn deze bevoegdheid verleent aan beheerders, cursusbouwers, beoordelaars, cursusleiders en onderwijsassistenten. Alle andere rollen beschikken standaard niet over deze bevoegdheid, maar de bevoegdheid kan indien nodig worden toegevoegd.

Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.

Omgevingen met Blackboard Learn SaaS kunnen niet worden geconfigureerd voor het filteren van aangepaste bestandstypen via HTML-filters.


Een beleid aanpassen

Beheerders kunnen de lijst met toegestane HTML-tags en -kenmerken in het bestand default-policy.xml aanpassen aan de specifieke behoeften van hun organisatie. Dit wordt echter afgeraden. Beheerders mogen het beleid alleen aanpassen als er sprake is van een specifieke gebruikssituatie die niet door het standaardbeleid wordt ondersteund.

  1. Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
  2. Selecteer Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
  3. Open het menu voor default-policy.xml en selecteer Downloaden. Sla het bestand op je computer op.
  4. Wijzig de SafeHTML-regel om te voldoen aan de behoeften van je organisatie.
  5. Als je het bestand hebt gewijzigd, sla je het op onder een nieuwe naam.
  6. Ga terug naar de pagina Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
  7. Selecteer Uploaden om de pagina Beleid voor veilige HTML uploaden en blader naar het nieuwe bestand.
  8. Voer desgewenst een opmerking in.
  9. Selecteer Verzenden om het nieuwe bestand te uploaden.
  10. Het nieuwe bestand verschijnt in de lijst met beleidsbestanden. Selecteer Activeren in het menu van het bestand om dit het actieve beleidsbestand te maken in de Blackboard Learn-omgeving.

Een beleid testen

Beheerders kunnen beleidsregels testen om er zeker van te zijn dat ze goed werken en de gewenste resultaten opleveren.

  1. Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
  2. Selecteer Veilig HTML-filter voor inhoudseditor.
  3. Selecteer Beleid testen in het menu van het beleidsbestand.
  4. Voer in het veld Voer de code (HTML, JS) in om te testen de HTML-code in die je wilt testen.
  5. Selecteer Testen.

Het systeem produceert testresultaten, gebaseerd op de ingevoerde HTML-code, zoals deze:

  • Er verschijnt een nieuw veld Opgeschoonde uitvoer met de door het systeem opgeschoonde uitvoer voor de ingevoerde HTML.
  • Als de ingevoerde scripttag niet is toegestaan door het beleid, verschijnt er een bericht met de mededeling dat het script vanwege veiligheidsredenen niet is toegestaan.
  • Een tag kan een kenmerk bevatten dat niet kan worden verwerkt. In dit geval verschijnt er een melding met de tag die een kenmerk bevat dat niet kan worden verwerkt en daarom is uitgefilterd.

HTML-body-tags en -kenmerken

Het bestand default-policy.xml ondersteunt deze body-tags en -kenmerken.

Groeperingselementen

HTML-body-tags en -kenmerken
TagKenmerken
divid, class, lang, dir, title, style, align
spanid, class, dir, title, style, align, xml:lang

Koppen

Koppen
TagKenmerken
h1id, class, lang, dir, title, style, align
h2id, class, lang, dir, title, style, align
h3id, class, lang, dir, title, style, align
h4id, class, lang, dir, title, style, align
h5id, class, lang, dir, title, style, align
h6id, class, lang, dir, title, style, align

Je adres

Je adres
TagKenmerken
uw adresid, class, lang, dir, title, style

Tags en kenmerken voor tekenstijl en HR

Het bestand default-policy.xml bevat deze tags en kenmerken voor tekenstijl en HR.

Tekenstijl

Tags en kenmerken voor tekenstijl en HR
TagKenmerken
ttid, class, lang, dir, title, style
iid, class, lang, dir, title, style
bid, class, lang, dir, title, style
bigid, class, lang, dir, title, style
smallid, class, lang, dir, title, style

HR

HR
TagKenmerken
hrid, class, lang, dir, title, style

Tags en kenmerken voor lijsten

Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor lijsten.

Ongeordende lijsten, geordende lijsten en lijstitems

Tags en kenmerken voor lijsten
TagKenmerken
ulid, class, lang, dir, title, style
liid, class, lang, dir, title, style
olid, class, lang, dir, title, style

Definitielijsten

Definitielijsten
TagKenmerken
dlid, class, lang, dir, title, style
dtid, class, lang, dir, title, style
ddid, class, lang, dir, title, style
dirid, class, dir, title, style, compact
menuid, class, lang, dir, title, style, compact

Tags en kenmerken voor koppelingen

Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor koppelingen.

Koppelingen

Tags en kenmerken voor koppelingen
TagKenmerken
aclass, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
linkZie http://www.w3schools.com/tags/tag_link.asp.

Tags en kenmerken voor tekst

Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tekst.

Zinselementen

Tags en kenmerken voor tekst
TagKenmerken
emid, class, lang, dir, title, style
strongid, class, lang, dir, title, style
citeid, class, lang, dir, title, style
dfnid, class, lang, dir, title, style
codeid, class, lang, dir, title, style
sampid, class, lang, dir, title, style
kbdid, class, lang, dir, title, style
varid, class, lang, dir, title, style
abbrid, class, lang, dir, title, style
acronymid, class, lang, dir, title, style

Citaten

Tags en kenmerken voor citaten
TagKenmerken
blockquoteid, class, lang, dir, title, style
qid, class, lang, dir, title, style

Subscript en superscript

Tags en kenmerken voor subscript en superscript
TagKenmerken
subid, class, lang, dir, title, style
supid, class, lang, dir, title, style

Regels en alinea's

Tags en kenmerken voor regels en alinea's
TagKenmerken
pid, class, lang, dir, title, stye, align
brid, class, title, style, clear
preid, class, lang, dir, title, style

Documentwijzigingen markeren

Tags en kenmerken voor markeren van documentwijzigingen
TagKenmerken
insid, class, lang, dir, title, style
delid, class, lang, dir, title, style

Tags en kenmerken voor tabellen

Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tabellen.

Tabel

Tags en kenmerken voor tabellen
TagKenmerken
tableid, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Tabelbijschriften

Tags en kenmerken voor tabelbijschriften
TagKenmerken
captionid, lang, dir, title, style

Rijgroepen

Tags en kenmerken voor rijgroepen
TagKenmerken
threadcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfootcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbodyid, class, lang, dir, title, style, align, char, charoff, valign
preid, class, lang, dir, title, style

Kolomgroepen

Tags en kenmerken voor kolomgroepen
TagKenmerken
colgroupspan, width, id, class, lang, dir, title, style, align, char, charoff, valign
colspan, width, id, class, lang, dir, title, style, align, char, charoff, valign

Tabelrijen

Tags en kenmerken voor tabelrijen
TagKenmerken
trid, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Tabelcellen

Tags en kenmerken voor tabelcellen
TagKenmerken
deabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
tdabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Tags en kenmerken voor ingesloten media en mashups

Het bestand default-policy.xml bevat deze tags en kenmerken voor ingesloten media en mashups.

Partners

Tags en kenmerken voor ingesloten media en mashups
TagKenmerken
scripttype, charset, src
iframesrc=begint met SafeHTML, YouTube-bronnen of building blocks met beperkingen, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Afbeeldingen

Tags en kenmerken voor afbeeldingen
TagKenmerken
imgsrc, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

Tags en kenmerken voor YouTube
TagKenmerken
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=begint met SafeHTML, YouTube-bronnen met beperkingen, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
insluitensrc=begint met SafeHTML, YouTube-bronnen met beperkingen, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=begint met http(s)://www.youtube.com of http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Slideshare

Tags en kenmerken voor Slideshare
TagKenmerken
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
insluitensrc=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling

Andere mediatypen waaronder Flash

Tags en kenmerken voor andere mediatypen
TagKenmerkenOpmerkingen
objectcodebase, name, align, hspace, vspace, bgcolor, classid 
paramname=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=falseKan andere parameters bevatten, maar deze moeten altijd aanwezig zijn voor bronnen anders dan YouTube en Slideshare.
insluitenallowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

allowScriptAccess=never moet altijd aanwezig zijn voor Flash

allowNetworking=none moet altijd aanwezig zijn voor Flash

allowFullScreen=false moet altijd aanwezig zijn voor Flash

'type' is op dit moment niet beperkt tot onze ondersteunde mediatypen, maar het standaardbeleid zal uiteindelijk beperkt zijn tot:

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframesrc=beperkte lijst, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling