Os usuários podem inserir HTML no Blackboard Learn de várias maneiras. Por exemplo, os usuários podem inserir HTML usando o editor de conteúdo em blogs e fóruns de discussão e por meio de carregamentos de arquivos HTML. No passado, uma ameaça de segurança era introduzida porque os usuários podiam inserir tags potencialmente perigosas, como tags de script. Essas tags podem ser usadas para executar scripts mal-intencionados no Blackboard Learn, expondo outros usuários a ataques. Isso é chamado de script cruzado, que permite que um usuário tenha controle sobre outros navegadores de usuários.

Os filtros HTML seguros fornecem mais controle sobre o tipo de HTML que os alunos podem inserir, tornando o HTML fornecido pelo usuário mais seguro para uso no Blackboard Learn. O recurso substitui um corretor de HTML anterior pela biblioteca de segurança de código aberto da API AntiSamy do Open Web Application Security. A nova API garante que o HTML fornecido pelo usuário esteja em conformidade com as regras de um aplicativo.

O Blackboard Learn fornece aos administradores um arquivo default-policy.xml que contém regras de HTML seguro. Os administradores podem definir as tags e os atributos em HTML no arquivo default-policy.xml, que são permitidos na instância do Blackboard Learn, com base no nível de tolerância de risco da organização.

Se você tiver personalizado seu arquivo default-policy.xml e a Blackboard fizer alterações na versão padrão do arquivo, o arquivo padrão anterior da Blackboard será renomeado para indicar que se trata de uma versão antiga. O novo arquivo default-policy.xml da Blackboard é adicionado às suas políticas e é definido como sua política ativa. Você será informado da atualização do arquivo por e-mail. Sua própria política personalizada permanece inalterada.

O HTML seguro só é aplicável a usuários que não têm o privilégio Adicionar/Modificar conteúdo confiável, também chamado de privilégio Adicionar/Editar conteúdo confiável com scripts. Os usuários com esse privilégio podem inserir HTML irrestrito/confiável, o que significa que não estão vinculados às regras de HTML seguro. Por padrão, o Blackboard Learn oferece esse privilégio a administradores, criadores de cursos, avaliadores, instrutores e assistentes de ensino. Todas as outras funções não têm esse privilégio por padrão, mas isso pode ser adicionado conforme a necessidade.

No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.

Os ambientes do Blackboard Learn SaaS não podem ser configurados para filtrar tipos de arquivos personalizados através de filtros HTML.


Personalizar uma política

Os administradores podem personalizar a lista de tags e atributos em HTML permitidos no arquivo default-policy.xml com base nas necessidades das organizações. No entanto, isso deve ser um evento raro. Os administradores só precisam personalizar a política se tiverem um caso de uso específico com que a política não é compatível.

  1. No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.
  2. Selecione o Filtro HTML seguro para editor de conteúdo para acessar a lista de políticas.
  3. Acesse o menu de default-policy.xml e selecione Fazer o download. Salve o arquivo em seu computador.
  4. Faça as alterações na regra HTML seguro para atender às necessidades da sua organização.
  5. Quando você editar o arquivo, digite um novo nome.
  6. Retorne à página Filtro HTML seguro para editor de conteúdo para acessar a lista de políticas.
  7. Selecione Carregar para acessar a página Carregar política de HTML seguro e procure o novo arquivo.
  8. Opcionalmente, digite um comentário.
  9. Selecione Enviar para carregar o novo arquivo.
  10. O novo arquivo será exibido na lista de arquivos de política. No menu do arquivo, selecione Ativar para torná-lo o arquivo de política ativo no ambiente do Blackboard Learn.

Testar uma política

Os administradores podem testar as políticas para garantir que estejam funcionando corretamente e gerando os resultados desejados.

  1. No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.
  2. Selecione Filtro HTML seguro para editor de conteúdo.
  3. No menu do arquivo da política, selecione Testar política.
  4. No campo Inserir código (HTML, JS) para teste, insira qualquer código HTML que queira testar.
  5. Selecione Testar.

O sistema fornece resultados de testes, com base no código HTML inserido, como estes:

  • Um novo campo Resultado corrigido é exibido, mostrando o resultado corrigido pelo sistema para o HTML digitado.
  • Se a tag de script que você inseriu não for permitida pela política, será exibida uma mensagem informando que o script não é permitido por motivos de segurança.
  • Uma tag pode conter um atributo que não pode ser processado. Neste caso, uma mensagem é exibida com a tag que contém um atributo que não pode ser processado e foi filtrado.

Tags e atributos de corpo HTML

O arquivo default-policy.xml permite essas tags e atributos de corpo.

Agrupamento de elementos

Tags e atributos de corpo HTML
TagAtributos
divid, class, lang, dir, title, style, align
spanid, class, dir, title, style, align, xml:lang

Cabeçalhos

Cabeçalhos
TagAtributos
h1id, class, lang, dir, title, style, align
h2id, class, lang, dir, title, style, align
h3id, class, lang, dir, title, style, align
h4id, class, lang, dir, title, style, align
h5id, class, lang, dir, title, style, align
h6id, class, lang, dir, title, style, align

Endereço

Endereço
TagAtributos
endereçoid, class, lang, dir, title, style

Estilo de fonte e tags e atributos HR

O arquivo default-policy.xml vem com esses estilos de fontes e, também, com as tags e atributos HR.

Estilo de fonte

Estilo de fonte e tags e atributos HR
TagAtributos
ttid, class, lang, dir, title, style
iid, class, lang, dir, title, style
bid, class, lang, dir, title, style
bigid, class, lang, dir, title, style
smallid, class, lang, dir, title, style

HR

HR
TagAtributos
hrid, class, lang, dir, title, style

Tags e atributos de listas

O arquivo default-policy.xml vem com essas tags e atributos de listas.

Listas não ordenadas, listas ordenadas e itens de listas

Tags e atributos de listas
TagAtributos
ulid, class, lang, dir, title, style
liid, class, lang, dir, title, style
olid, class, lang, dir, title, style

Listas de definição

Listas de definição
TagAtributos
dlid, class, lang, dir, title, style
dtid, class, lang, dir, title, style
ddid, class, lang, dir, title, style
dirid, class, dir, title, style, compact
menuid, class, lang, dir, title, style, compact

Tags e atributos de links

O arquivo default-policy.xml vem com essas tags e atributos de links.

Links

Tags e atributos de links
TagAtributos
aclass, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
linkConsulte http://www.w3schools.com/tags/tag_link.asp.

Tags e atributos de texto

O arquivo default-policy.xml vem com essas tags e atributos de texto.

Elementos de frase

Tags e atributos de texto
TagAtributos
emid, class, lang, dir, title, style
strongid, class, lang, dir, title, style
citeid, class, lang, dir, title, style
dfnid, class, lang, dir, title, style
codeid, class, lang, dir, title, style
sampid, class, lang, dir, title, style
kbdid, class, lang, dir, title, style
varid, class, lang, dir, title, style
abbrid, class, lang, dir, title, style
acronymid, class, lang, dir, title, style

Aspas

Tags e atributos de aspas
TagAtributos
blockquoteid, class, lang, dir, title, style
qid, class, lang, dir, title, style

Subscritos e sobrescritos

Tags e atributos de subscritos e sobrescritos
TagAtributos
subid, class, lang, dir, title, style
supid, class, lang, dir, title, style

Linhas e parágrafos

Tags e atributos de linhas e parágrafos
TagAtributos
pid, class, lang, dir, title, stye, align
brid, class, title, style, clear
preid, class, lang, dir, title, style

Marcação de alterações no documento

Tags e atributos de alterações no documento
TagAtributos
insid, class, lang, dir, title, style
delid, class, lang, dir, title, style

Tags e atributos de tabela

O arquivo default-policy.xml vem com essas tags e atributos de tabela.

Tabela

Tags e atributos de tabela
TagAtributos
de tabelaid, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Legendas da tabela

Tags e atributos de legenda da tabela
TagAtributos
captionid, lang, dir, title, style

Grupos de linhas

Tags e atributos de grupo de linhas
TagAtributos
threadcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfootcellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbodyid, class, lang, dir, title, style, align, char, charoff, valign
preid, class, lang, dir, title, style

Grupo de colunas

Tags e atributos de grupo de colunas
TagAtributos
colgroupspan, width, id, class, lang, dir, title, style, align, char, charoff, valign
colspan, width, id, class, lang, dir, title, style, align, char, charoff, valign

Linhas da tabela

Tags e atributos de linhas da tabela
TagAtributos
trid, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Células da tabela

Tags e atributos de células da tabela
TagAtributos
ºabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
tdabbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Tags e atributos de mídias e mashups incorporados

O arquivo default-policy.xml vem com essas tags e atributos de mídias e mashups incorporados.

Parceiros

Tags e atributos de mídias e mashups incorporados
TagAtributos
scripttype, charset, src
iframesrc=starts with SafeHTML Restricted Youtube Sources or building blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Imagens

Tags e atributos de imagens
TagAtributos
imgsrc, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

Tags e atributos do YouTube
TagAtributos
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=starts with SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false
incorporadosrc=starts with SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=starts with http(s)://www.youtube.com or http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

SlideShare

Tags e atributos do SlideShare
TagAtributos
objectclassid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
paramname=movie, value=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent
incorporadosrc=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframesrc=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling

Outros tipos de mídia incluindo Flash

Tags e atributos de outros tipos de mídia
TagAtributosComentários
objectcodebase, name, align, hspace, vspace, bgcolor, classid 
paramname=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=falsePode conter outros parâmetros, mas estes devem estar sempre presentes para fontes diferentes do YouTube e do SlideShare.
incorporadoallowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

allowScriptAccess=never deve estar sempre presente para o Flash

allowNetworking=none deve estar sempre presente para o Flash

allowFullScreen=false deve estar sempre presente para o Flash

“type” não está restrito atualmente aos nossos tipos de mídia suportados, mas a política padrão será limitada a:

  • video/quicktime
  • application/x-shockwave-flash
  • application/x-director
  • application/x-mplayer2
iframesrc=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling