Os usuários podem inserir HTML no Blackboard Learn de várias maneiras. Por exemplo, os usuários podem inserir HTML usando o editor de conteúdo em blogs e fóruns de discussão e por meio de carregamentos de arquivos HTML. No passado, uma ameaça de segurança era introduzida porque os usuários podiam inserir tags potencialmente perigosas, como tags de script. Essas tags podem ser usadas para executar scripts mal-intencionados no Blackboard Learn, expondo outros usuários a ataques. Isso é chamado de script cruzado, que permite que um usuário tenha controle sobre outros navegadores de usuários.
Os filtros HTML seguros fornecem mais controle sobre o tipo de HTML que os alunos podem inserir, tornando o HTML fornecido pelo usuário mais seguro para uso no Blackboard Learn. O recurso substitui um corretor de HTML anterior pela biblioteca de segurança de código aberto da API AntiSamy do Open Web Application Security. A nova API garante que o HTML fornecido pelo usuário esteja em conformidade com as regras de um aplicativo.
O Blackboard Learn fornece aos administradores um arquivo default-policy.xml que contém regras de HTML seguro. Os administradores podem definir as tags e os atributos em HTML no arquivo default-policy.xml, que são permitidos na instância do Blackboard Learn, com base no nível de tolerância de risco da organização.
O HTML seguro só é aplicável a usuários que não têm o privilégio Adicionar/Modificar conteúdo confiável, também chamado de privilégio Adicionar/Editar conteúdo confiável com scripts. Os usuários com esse privilégio podem inserir HTML irrestrito/confiável, o que significa que não estão vinculados às regras de HTML seguro. Por padrão, o Blackboard Learn oferece esse privilégio a administradores, criadores de cursos, avaliadores, instrutores e assistentes de ensino. Todas as outras funções não têm esse privilégio por padrão, mas isso pode ser adicionado conforme a necessidade.
No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.
Os ambientes do Blackboard Learn SaaS não podem ser configurados para filtrar tipos de arquivos personalizados através de filtros HTML.
Personalizar uma política
Os administradores podem personalizar a lista de tags e atributos em HTML permitidos no arquivo default-policy.xml com base nas necessidades das organizações. No entanto, isso deve ser um evento raro. Os administradores só precisam personalizar a política se tiverem um caso de uso específico com que a política não é compatível.
- No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.
- Selecione o Filtro HTML seguro para editor de conteúdo para acessar a lista de políticas.
- Acesse o menu de default-policy.xml e selecione Fazer o download. Salve o arquivo em seu computador.
- Faça as alterações na regra HTML seguro para atender às necessidades da sua organização.
- Quando você editar o arquivo, digite um novo nome.
- Retorne à página Filtro HTML seguro para editor de conteúdo para acessar a lista de políticas.
- Selecione Carregar para acessar a página Carregar política de HTML seguro e procure o novo arquivo.
- Opcionalmente, digite um comentário.
- Selecione Enviar para carregar o novo arquivo.
- O novo arquivo será exibido na lista de arquivos de política. No menu do arquivo, selecione Ativar para torná-lo o arquivo de política ativo no ambiente do Blackboard Learn.
Testar uma política
Os administradores podem testar as políticas para garantir que estejam funcionando corretamente e gerando os resultados desejados.
- No Painel do administrador, selecione Filtros HTML seguros no menu Segurança.
- Selecione Filtro HTML seguro para editor de conteúdo.
- No menu do arquivo da política, selecione Testar política.
- No campo Inserir código (HTML, JS) para teste, insira qualquer código HTML que queira testar.
- Selecione Testar.
O sistema fornece resultados de testes, com base no código HTML inserido, como estes:
- Um novo campo Resultado corrigido é exibido, mostrando o resultado corrigido pelo sistema para o HTML digitado.
- Se a tag de script que você inseriu não for permitida pela política, será exibida uma mensagem informando que o script não é permitido por motivos de segurança.
- Uma tag pode conter um atributo que não pode ser processado. Neste caso, uma mensagem é exibida com a tag que contém um atributo que não pode ser processado e foi filtrado.
Tags e atributos de corpo HTML
O arquivo default-policy.xml permite essas tags e atributos de corpo.
Agrupamento de elementos
Tags e atributos de corpo HTML
| Tag |
Atributos |
| div |
id, class, lang, dir, title, style, align |
| span |
id, class, dir, title, style, align, xml:lang |
Cabeçalhos
Cabeçalhos
| Tag |
Atributos |
| h1 |
id, class, lang, dir, title, style, align |
| h2 |
id, class, lang, dir, title, style, align |
| h3 |
id, class, lang, dir, title, style, align |
| h4 |
id, class, lang, dir, title, style, align |
| h5 |
id, class, lang, dir, title, style, align |
| h6 |
id, class, lang, dir, title, style, align |
Endereço
Endereço
| Tag |
Atributos |
| endereço |
id, class, lang, dir, title, style |
Estilo de fonte e tags e atributos HR
O arquivo default-policy.xml vem com esses estilos de fontes e, também, com as tags e atributos HR.
Estilo de fonte
Estilo de fonte e tags e atributos HR
| Tag |
Atributos |
| tt |
id, class, lang, dir, title, style |
| i |
id, class, lang, dir, title, style |
| b |
id, class, lang, dir, title, style |
| big |
id, class, lang, dir, title, style |
| small |
id, class, lang, dir, title, style |
HR
HR
| Tag |
Atributos |
| hr |
id, class, lang, dir, title, style |
Tags e atributos de listas
O arquivo default-policy.xml vem com essas tags e atributos de listas.
Listas não ordenadas, listas ordenadas e itens de listas
Tags e atributos de listas
| Tag |
Atributos |
| ul |
id, class, lang, dir, title, style |
| li |
id, class, lang, dir, title, style |
| ol |
id, class, lang, dir, title, style |
Listas de definição
Listas de definição
| Tag |
Atributos |
| dl |
id, class, lang, dir, title, style |
| dt |
id, class, lang, dir, title, style |
| dd |
id, class, lang, dir, title, style |
| dir |
id, class, dir, title, style, compact |
| menu |
id, class, lang, dir, title, style, compact |
Tags e atributos de links
O arquivo default-policy.xml vem com essas tags e atributos de links.
Links
Tags e atributos de links
| Tag |
Atributos |
| a |
class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
| link |
Consulte http://www.w3schools.com/tags/tag_link.asp. |
Tags e atributos de texto
O arquivo default-policy.xml vem com essas tags e atributos de texto.
Elementos de frase
Tags e atributos de texto
| Tag |
Atributos |
| em |
id, class, lang, dir, title, style |
| strong |
id, class, lang, dir, title, style |
| cite |
id, class, lang, dir, title, style |
| dfn |
id, class, lang, dir, title, style |
| code |
id, class, lang, dir, title, style |
| samp |
id, class, lang, dir, title, style |
| kbd |
id, class, lang, dir, title, style |
| var |
id, class, lang, dir, title, style |
| abbr |
id, class, lang, dir, title, style |
| acronym |
id, class, lang, dir, title, style |
Aspas
Tags e atributos de aspas
| Tag |
Atributos |
| blockquote |
id, class, lang, dir, title, style |
| q |
id, class, lang, dir, title, style |
Subscritos e sobrescritos
Tags e atributos de subscritos e sobrescritos
| Tag |
Atributos |
| sub |
id, class, lang, dir, title, style |
| sup |
id, class, lang, dir, title, style |
Linhas e parágrafos
Tags e atributos de linhas e parágrafos
| Tag |
Atributos |
| p |
id, class, lang, dir, title, stye, align |
| br |
id, class, title, style, clear |
| pre |
id, class, lang, dir, title, style |
Marcação de alterações no documento
Tags e atributos de alterações no documento
| Tag |
Atributos |
| ins |
id, class, lang, dir, title, style |
| del |
id, class, lang, dir, title, style |
Tags e atributos de tabela
O arquivo default-policy.xml vem com essas tags e atributos de tabela.
Tabela
Tags e atributos de tabela
| Tag |
Atributos |
| de tabela |
id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Legendas da tabela
Tags e atributos de legenda da tabela
| Tag |
Atributos |
| caption |
id, lang, dir, title, style |
Grupos de linhas
Tags e atributos de grupo de linhas
| Tag |
Atributos |
| thread |
cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
| tfoot |
cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
| tbody |
id, class, lang, dir, title, style, align, char, charoff, valign |
| pre |
id, class, lang, dir, title, style |
Grupo de colunas
Tags e atributos de grupo de colunas
| Tag |
Atributos |
| colgroup |
span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
| col |
span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Linhas da tabela
Tags e atributos de linhas da tabela
| Tag |
Atributos |
| tr |
id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Células da tabela
Tags e atributos de células da tabela
| Tag |
Atributos |
| º |
abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
| td |
abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tags e atributos de mídias e mashups incorporados
O arquivo default-policy.xml vem com essas tags e atributos de mídias e mashups incorporados.
Parceiros
Tags e atributos de mídias e mashups incorporados
| Tag |
Atributos |
| script |
type, charset, src |
| iframe |
src=starts with SafeHTML Restricted Youtube Sources or building blocks, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
Imagens
Tags e atributos de imagens
| Tag |
Atributos |
| img |
src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
YouTube
Tags e atributos do YouTube
| Tag |
Atributos |
| object |
classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
| param |
name=movie, value=starts with SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
| incorporado |
src=starts with SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
| iframe |
src=starts with http(s)://www.youtube.com or http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
SlideShare
Tags e atributos do SlideShare
| Tag |
Atributos |
| object |
classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
| param |
name=movie, value=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
| incorporado |
src=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
| iframe |
src=starts with http(s)://static.slidesharecdn.com/ or http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling |
Outros tipos de mídia incluindo Flash
Tags e atributos de outros tipos de mídia
| Tag |
Atributos |
Comentários |
| object |
codebase, name, align, hspace, vspace, bgcolor, classid |
|
| param |
name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false |
Pode conter outros parâmetros, mas estes devem estar sempre presentes para fontes diferentes do YouTube e do SlideShare. |
| incorporado |
allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang |
allowScriptAccess=never deve estar sempre presente para o Flash allowNetworking=none deve estar sempre presente para o Flash
allowFullScreen=false deve estar sempre presente para o Flash
“type” não está restrito atualmente aos nossos tipos de mídia suportados, mas a política padrão será limitada a:
- video/quicktime
- application/x-shockwave-flash
- application/x-director
- application/x-mplayer2
|
| iframe |
src=restricted list, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling |
|
