Filtres HTML sécurisés
Les utilisateurs peuvent saisir du code HTML dans Blackboard de différentes manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Par le passé, une menace pour la sécurité a été introduite, car les utilisateurs pouvaient entrer des balises potentiellement dangereuses, telles que des balises de script. Ces balises peuvent être utilisées pour exécuter des scripts malveillants dans Blackboard, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle la Cross Scripting, qui permet à un utilisateur de contrôler d'autres navigateurs d'utilisateurs.
Les filtres de sécurité HTML vous permettent de mieux contrôler le type de code HTML que les étudiants peuvent saisir, ce qui rend le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard. La fonctionnalité remplace un désinfectant HTML antérieur par la bibliothèque de sécurité open source de l'API AntiSamy de l'Open Web Application Security Project. La nouvelle API garantit que le format HTML fourni par l'utilisateur est conforme aux règles d'une application.
Blackboard fournit aux administrateurs un fichier default-policy.xml contenant des règles HTML sécurisés. Les administrateurs peuvent définir les balises HTML et les attributs dans le fichier default-policy.xml qui sont autorisés sur leur instance Blackboard, en fonction du niveau de tolérance au risque de leur organisation.
Si vous avez personnalisé votre fichier default-policy.xml et que Blackboard apporte des modifications à la version par défaut du fichier, le fichier Blackboard par défaut précédent est renommé pour indiquer qu'il s'agit d'une ancienne version. Le nouveau fichier default-policy.xml de Blackboard est ajouté à vos stratégies et est défini comme étant votre stratégie active. Vous serez informé de la mise à jour du fichier par e-mail. Votre propre politique personnalisée restera inchangée.
Note
Le code HTML sécurisé ne s'applique qu'aux utilisateurs qui ne disposent pas du privilège Ajouter/modifier un contenu sécurisé (également appelé privilège Ajouter/modifier un contenu sécurisé avec des scripts). Les utilisateurs disposant de ce privilège peuvent saisir des codes HTML non restreints/fiables, ce qui signifie qu'ils ne sont pas liés aux règles HTML sécurisées. Par défaut, Blackboard accorde ce privilège aux administrateurs, aux concepteurs de cours, aux évaluateurs, aux professeurs et aux assistants. Tous les autres rôles ne disposent pas de ce privilège par défaut, mais ils peuvent être ajoutés en fonction des besoins.
Dans le panneau de l'administrateur, sélectionnez Filtres HTML sécuritaires dans le menu Sécurité.
Important
Les environnements SaaS Blackboard ne peuvent pas être configurés pour filtrer les types de fichiers personnalisés via des filtres HTML.
Personnaliser une politique
Les administrateurs peuvent personnaliser la liste des balises et attributs HTML autorisés dans le fichier default-policy.xml en fonction des besoins de leur organisation. Cependant, cela doit rester un événement rare. Les administrateurs doivent uniquement personnaliser la stratégie s'ils rencontrent un cas d'utilisation spécifique que la règle ne prend pas en charge.
Dans le panneau de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
Accédez au menu du fichier
default-policy.xmlet sélectionnez Télécharger. Enregistrez le fichier sur votre ordinateur.Apportez les modifications souhaitées à la règle SafeHTML pour répondre aux besoins de votre communauté.
Une fois que vous avez modifié le fichier, saisissez un nouveau nom.
Revenez à la page Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des stratégies.
Sélectionnez Télécharger pour accéder à la page Politique de téléchargement sécurisé du code HTML et rechercher votre nouveau fichier.
Vous pouvez également saisir un commentaire.
Sélectionnez Soumettre pour télécharger le nouveau fichier.
Le nouveau fichier apparaît dans la liste des fichiers de règle. Dans le menu du fichier, sélectionnez Activer pour en faire le fichier de stratégie actif dans votre environnement Blackboard.
Tester une politique
Les administrateurs peuvent tester les stratégies pour s'assurer de leur bon fonctionnement et obtenir les résultats souhaités.
Dans le panneau de l'administrateur, sélectionnez Filtres HTML sécuritaires dans le menu Sécurité.
Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu.
Dans le menu du fichier de stratégie, sélectionnez Tester la stratégie.
Dans le champ Entrer le code (HTML, JS) à tester, entrez le code HTML que vous souhaitez tester.
Sélectionnez Test.
Le système fournit des résultats des tests, en fonction du code HTML saisi, tels que ceux-ci :
Un nouveau champ Sortie désinfectée apparaît pour afficher la sortie désinfectée par le système pour le code HTML que vous avez entré.
Si la balise de script que vous avez saisie n'est pas autorisée par la règle, un message s'affiche pour vous informer que le script n'est pas autorisé pour des raisons de sécurité.
Une balise peut contenir un attribut qui ne peut pas être traité. Dans ce cas, un message apparaît avec la balise qui contient un attribut qui ne peut pas être traité et qui a été filtré.
Balises et attributs du corps HTML
Le fichier default-policy.xml autorise ces balises et attributs de corps.
Regroupement d'éléments
Balise | Attributs |
|---|---|
div | id, class, lang, dir, title, style, align |
span | id, class, dir, title, style, align, xml:lang |
Titres
Balise | Attributs |
|---|---|
h1 | id, class, lang, dir, title, style, align |
h2 | id, class, lang, dir, title, style, align |
h3 | id, class, lang, dir, title, style, align |
h4 | id, class, lang, dir, title, style, align |
h5 | id, class, lang, dir, title, style, align |
h6 | id, class, lang, dir, title, style, align |
Adresse
Balise | Attributs |
|---|---|
adresse | id, class, lang, dir, title, style |
Style de police et balises et attributs HR
Le fichier default-policy.xml est accompagné de ce style de police ainsi que de balises et attributs RH.
Balise | Attributs |
|---|---|
tt | id, class, lang, dir, title, style |
i | id, class, lang, dir, title, style |
b | id, class, lang, dir, title, style |
big | id, class, lang, dir, title, style |
small | id, class, lang, dir, title, style |
Balise | Attribut |
|---|---|
hr | id, class, lang, dir, title, style |
Répertorier les balises et les attributs
Le fichier default-policy.xml est expédié avec ces balises et attributs de liste.
Balise | Attributs |
|---|---|
ul | id, class, lang, dir, title, style |
li | id, class, lang, dir, title, style |
ol | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
dl | id, class, lang, dir, title, style |
dt | id, class, lang, dir, title, style |
dd | id, class, lang, dir, title, style |
dir | id, class, dir, title, style, compact |
menu | id, class, lang, dir, title, style, compact |
Balises et attributs de liens
Le fichier default-policy.xml est expédié avec ces balises et attributs de lien.
Balise | Attributs |
|---|---|
a | class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
lien | Consultez la page http://www.w3schools.com/tags/tag_link.asp. |
Balises et attributs de texte
Le fichier default-policy.xml est accompagné de ces balises de texte et attributs.
Balise | Attributs |
|---|---|
em | id, class, lang, dir, title, style |
strong | id, class, lang, dir, title, style |
cite | id, class, lang, dir, title, style |
dfn | id, class, lang, dir, title, style |
code | id, class, lang, dir, title, style |
samp | id, class, lang, dir, title, style |
kbd | id, class, lang, dir, title, style |
var | id, class, lang, dir, title, style |
abbr | id, class, lang, dir, title, style |
acronym | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
blockquote | id, class, lang, dir, title, style |
q | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
sub | id, class, lang, dir, title, style |
sup | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
p | id, class, lang, dir, title, stye, align |
br | id, class, title, style, clear |
pre | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
ins | id, class, lang, dir, title, style |
del | id, class, lang, dir, title, style |
Balises et attributs des tableaux
Le fichier default-policy.xml est accompagné de ces balises et attributs de table.
Balise | Attributs |
|---|---|
table | id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Balise | Attributs |
|---|---|
caption | id, lang, dir, title, style |
Balise | Attributs |
|---|---|
fil | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tfoot | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tbody | id, class, lang, dir, title, style, align, char, charoff, valign |
pre | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
colgroup | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
col | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Balise | Attributs |
|---|---|
tr | id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Balise | Attributs |
|---|---|
ième | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
td | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tags et attributs multimédia et mashup intégrés
Le fichier default-policy.xml est accompagné de ces balises et attributs multimédias intégrés et mashup.
Balise | Attributs |
|---|---|
scénario | type, charset, src |
iframe | src=starts with SafeHTML Restricted Youtube Sources ou blocs fonctionnels, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scroll |
Balise | Attributs |
|---|---|
img | src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
Balise | Attributs |
|---|---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
incorporer | src=commence par des sources Youtube restreintes à SafeHTML, AllowScriptAccess=Never, AllowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http (s) //www.youtube.com ou http (s) //www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scroll |
Balise | Attributs |
|---|---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par http (s) http://static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
incorporer | src=commence par http (s) :\static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, AllowScriptAccess=Never, AllowNetworking=Never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http (s) http://static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, hauteur, largeur, cadre, marge largeur, hauteur de marge, défilement |
Balise | Attributs | Commentaires |
|---|---|---|
object | codebase, name, align, hspace, vspace, bgcolor, classid | |
param | name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false | Peut contenir d'autres paramètres, mais ceux-ci doivent toujours être présents pour d'autres sources que YouTube et SlideShare. |
incorporer | allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang | allowScriptAccess=never doit toujours être présent pour Flash allowNetworking=none doit toujours être présent pour Flash allowFullScreen=false doit toujours être présent pour Flash « type » n'est actuellement pas restreint à nos types de ressources multimédia prises en charge, mais la stratégie par défaut sera finalement limitée à :
|
iframe | src=liste restreinte, longdesc, nom, largeur, hauteur, identifiant, classe, titre, style, align, frameborder, marginwidth, marginheight, scrolling |