Gebruikers kunnen op verschillende manieren HTML invoeren in Blackboard Learn. Ze kunnen bijvoorbeeld HTML invoeren met de inhoudseditor in blogs en discussieruimten, en via het uploaden van HTML-bestanden. In het verleden kon er een beveiligingsprobleem worden geïntroduceerd omdat gebruikers potentieel gevaarlijke tags konden invoeren, zoals scripttags. Dergelijke tags konden worden gebruikt voor het uitvoeren van kwaadwillende code in Blackboard Learn, waardoor andere gebruikers werden blootgesteld aan aanvallen. Dit wordt 'cross scripting' genoemd en stelt een gebruiker in staat om controle te hebben over de browser van andere gebruikers.
Veilige HTML-filters geven je meer controle over het type HTML dat studenten kunnen invoeren, zodat door gebruikers aangeboden HTML veiliger te gebruiken is in Blackboard Learn. De functie vervangt een eerdere HTML-sanitizer door de open-source beveiligingsbibliotheek van de AntiSamy-API van het Open Web Application Security Project. De nieuwe API zorgt ervoor dat HTML van gebruikers voldoet aan de regels van een toepassing.
Beheerders van Blackboard Learn hebben de beschikking over het bestand default-policy.xml, met daarin regels van Veilige HTML. Beheerders kunnen in het bestand default-policy.xml de HTML-tags en -kenmerken definiëren die zijn toegestaan in hun exemplaar van Blackboard Learn, gebaseerd op het risicotolerantieniveau van hun organisatie.
Veilige HTML is alleen van toepassing op gebruikers die niet beschikken over de bevoegdheid Vertrouwde inhoud met scripts toevoegen/bewerken. Gebruikers met deze bevoegdheid kunnen vertrouwde HTML/HTML zonder beperkingen invoeren, wat betekent dat ze zich niet hoeven te houden aan de regels van veilige HTML. De standaardinstelling is dat Blackboard Learn deze bevoegdheid verleent aan beheerders, cursusbouwers, beoordelaars, cursusleiders en onderwijsassistenten. Alle andere rollen beschikken standaard niet over deze bevoegdheid, maar de bevoegdheid kan indien nodig worden toegevoegd.
Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
Omgevingen met Blackboard Learn SaaS kunnen niet worden geconfigureerd voor het filteren van aangepaste bestandstypen via HTML-filters.
Een beleid aanpassen
Beheerders kunnen de lijst met toegestane HTML-tags en -kenmerken in het bestand default-policy.xml aanpassen aan de specifieke behoeften van hun organisatie. Dit wordt echter afgeraden. Beheerders mogen het beleid alleen aanpassen als er sprake is van een specifieke gebruikssituatie die niet door het standaardbeleid wordt ondersteund.
- Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
- Selecteer Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
- Open het menu voor default-policy.xml en selecteer Downloaden. Sla het bestand op je computer op.
- Wijzig de SafeHTML-regel om te voldoen aan de behoeften van je organisatie.
- Als je het bestand hebt gewijzigd, sla je het op onder een nieuwe naam.
- Ga terug naar de pagina Veilig HTML-filter voor inhoudseditor om de lijst met beleidsregels weer te geven.
- Selecteer Uploaden om de pagina Beleid voor veilige HTML uploaden en blader naar het nieuwe bestand.
- Voer desgewenst een opmerking in.
- Selecteer Verzenden om het nieuwe bestand te uploaden.
- Het nieuwe bestand verschijnt in de lijst met beleidsbestanden. Selecteer Activeren in het menu van het bestand om dit het actieve beleidsbestand te maken in de Blackboard Learn-omgeving.
Een beleid testen
Beheerders kunnen beleidsregels testen om er zeker van te zijn dat ze goed werken en de gewenste resultaten opleveren.
- Ga naar het configuratiescherm voor systeembeheer en selecteer Veilige HTML-filters in het menu Beveiliging.
- Selecteer Veilig HTML-filter voor inhoudseditor.
- Selecteer Beleid testen in het menu van het beleidsbestand.
- Voer in het veld Voer de code (HTML, JS) in om te testen de HTML-code in die je wilt testen.
- Selecteer Testen.
Het systeem produceert testresultaten, gebaseerd op de ingevoerde HTML-code, zoals deze:
- Er verschijnt een nieuw veld Opgeschoonde uitvoer met de door het systeem opgeschoonde uitvoer voor de ingevoerde HTML.
- Als de ingevoerde scripttag niet is toegestaan door het beleid, verschijnt er een bericht met de mededeling dat het script vanwege veiligheidsredenen niet is toegestaan.
- Een tag kan een kenmerk bevatten dat niet kan worden verwerkt. In dit geval verschijnt er een melding met de tag die een kenmerk bevat dat niet kan worden verwerkt en daarom is uitgefilterd.
HTML-body-tags en -kenmerken
Het bestand default-policy.xml ondersteunt deze body-tags en -kenmerken.
Groeperingselementen
HTML-body-tags en -kenmerken
| Tag |
Kenmerken |
| div |
id, class, lang, dir, title, style, align |
| span |
id, class, dir, title, style, align, xml:lang |
Koppen
Koppen
| Tag |
Kenmerken |
| h1 |
id, class, lang, dir, title, style, align |
| h2 |
id, class, lang, dir, title, style, align |
| h3 |
id, class, lang, dir, title, style, align |
| h4 |
id, class, lang, dir, title, style, align |
| h5 |
id, class, lang, dir, title, style, align |
| h6 |
id, class, lang, dir, title, style, align |
Je adres
Je adres
| Tag |
Kenmerken |
| uw adres |
id, class, lang, dir, title, style |
Tags en kenmerken voor tekenstijl en HR
Het bestand default-policy.xml bevat deze tags en kenmerken voor tekenstijl en HR.
Tekenstijl
Tags en kenmerken voor tekenstijl en HR
| Tag |
Kenmerken |
| tt |
id, class, lang, dir, title, style |
| i |
id, class, lang, dir, title, style |
| b |
id, class, lang, dir, title, style |
| big |
id, class, lang, dir, title, style |
| small |
id, class, lang, dir, title, style |
HR
HR
| Tag |
Kenmerken |
| hr |
id, class, lang, dir, title, style |
Tags en kenmerken voor lijsten
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor lijsten.
Ongeordende lijsten, geordende lijsten en lijstitems
Tags en kenmerken voor lijsten
| Tag |
Kenmerken |
| ul |
id, class, lang, dir, title, style |
| li |
id, class, lang, dir, title, style |
| ol |
id, class, lang, dir, title, style |
Definitielijsten
Definitielijsten
| Tag |
Kenmerken |
| dl |
id, class, lang, dir, title, style |
| dt |
id, class, lang, dir, title, style |
| dd |
id, class, lang, dir, title, style |
| dir |
id, class, dir, title, style, compact |
| menu |
id, class, lang, dir, title, style, compact |
Tags en kenmerken voor koppelingen
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor koppelingen.
Koppelingen
Tags en kenmerken voor koppelingen
| Tag |
Kenmerken |
| a |
class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
| link |
Zie http://www.w3schools.com/tags/tag_link.asp. |
Tags en kenmerken voor tekst
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tekst.
Zinselementen
Tags en kenmerken voor tekst
| Tag |
Kenmerken |
| em |
id, class, lang, dir, title, style |
| strong |
id, class, lang, dir, title, style |
| cite |
id, class, lang, dir, title, style |
| dfn |
id, class, lang, dir, title, style |
| code |
id, class, lang, dir, title, style |
| samp |
id, class, lang, dir, title, style |
| kbd |
id, class, lang, dir, title, style |
| var |
id, class, lang, dir, title, style |
| abbr |
id, class, lang, dir, title, style |
| acronym |
id, class, lang, dir, title, style |
Citaten
Tags en kenmerken voor citaten
| Tag |
Kenmerken |
| blockquote |
id, class, lang, dir, title, style |
| q |
id, class, lang, dir, title, style |
Subscript en superscript
Tags en kenmerken voor subscript en superscript
| Tag |
Kenmerken |
| sub |
id, class, lang, dir, title, style |
| sup |
id, class, lang, dir, title, style |
Regels en alinea's
Tags en kenmerken voor regels en alinea's
| Tag |
Kenmerken |
| p |
id, class, lang, dir, title, stye, align |
| br |
id, class, title, style, clear |
| pre |
id, class, lang, dir, title, style |
Documentwijzigingen markeren
Tags en kenmerken voor markeren van documentwijzigingen
| Tag |
Kenmerken |
| ins |
id, class, lang, dir, title, style |
| del |
id, class, lang, dir, title, style |
Tags en kenmerken voor tabellen
Het bestand default-policy.xml ondersteunt deze tags en kenmerken voor tabellen.
Tabel
Tags en kenmerken voor tabellen
| Tag |
Kenmerken |
| table |
id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Tabelbijschriften
Tags en kenmerken voor tabelbijschriften
| Tag |
Kenmerken |
| caption |
id, lang, dir, title, style |
Rijgroepen
Tags en kenmerken voor rijgroepen
| Tag |
Kenmerken |
| thread |
cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
| tfoot |
cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
| tbody |
id, class, lang, dir, title, style, align, char, charoff, valign |
| pre |
id, class, lang, dir, title, style |
Kolomgroepen
Tags en kenmerken voor kolomgroepen
| Tag |
Kenmerken |
| colgroup |
span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
| col |
span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Tabelrijen
Tags en kenmerken voor tabelrijen
| Tag |
Kenmerken |
| tr |
id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tabelcellen
Tags en kenmerken voor tabelcellen
| Tag |
Kenmerken |
| de |
abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
| td |
abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tags en kenmerken voor ingesloten media en mashups
Het bestand default-policy.xml bevat deze tags en kenmerken voor ingesloten media en mashups.
Partners
Tags en kenmerken voor ingesloten media en mashups
| Tag |
Kenmerken |
| script |
type, charset, src |
| iframe |
src=begint met SafeHTML, YouTube-bronnen of building blocks met beperkingen, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Afbeeldingen
Tags en kenmerken voor afbeeldingen
| Tag |
Kenmerken |
| img |
src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
YouTube
Tags en kenmerken voor YouTube
| Tag |
Kenmerken |
| object |
classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
| param |
name=movie, value=begint met SafeHTML, YouTube-bronnen met beperkingen, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
| insluiten |
src=begint met SafeHTML, YouTube-bronnen met beperkingen, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
| iframe |
src=begint met http(s)://www.youtube.com of http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Slideshare
Tags en kenmerken voor Slideshare
| Tag |
Kenmerken |
| object |
classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
| param |
name=movie, value=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
| insluiten |
src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
| iframe |
src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling |
Andere mediatypen waaronder Flash
Tags en kenmerken voor andere mediatypen
| Tag |
Kenmerken |
Opmerkingen |
| object |
codebase, name, align, hspace, vspace, bgcolor, classid |
|
| param |
name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false |
Kan andere parameters bevatten, maar deze moeten altijd aanwezig zijn voor bronnen anders dan YouTube en Slideshare. |
| insluiten |
allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang |
allowScriptAccess=never moet altijd aanwezig zijn voor Flash allowNetworking=none moet altijd aanwezig zijn voor Flash
allowFullScreen=false moet altijd aanwezig zijn voor Flash
'type' is op dit moment niet beperkt tot onze ondersteunde mediatypen, maar het standaardbeleid zal uiteindelijk beperkt zijn tot:
- video/quicktime
- application/x-shockwave-flash
- application/x-director
- application/x-mplayer2
|
| iframe |
src=beperkte lijst, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
|
