Skip to main content

Filtros de HTML seguros

Los usuarios pueden ingresar HTML en Blackboard de varias maneras. Por ejemplo, pueden hacerlo con el editor de contenidos en los blogs y los tableros de discusión, y a través de la carga de archivos HTML. Antiguamente, se presentaban amenazas de seguridad porque los usuarios podían escribir etiquetas potencialmente peligrosas, como las de secuencias de comandos. Dichas etiquetas podrían usarse para ejecutar scripts maliciosos en Blackboard, exponiendo a otros usuarios a ataques. Esto se conoce como secuencias de comandos en sitios cruzados, lo que permite a un usuario tener control sobre los navegadores de otros usuarios.

Los filtros de HTML seguros le brindan más control sobre el tipo de HTML que los estudiantes pueden ingresar, lo que hace que el HTML proporcionado por el usuario sea más seguro de usar en Blackboard. La función reemplaza un desinfectante HTML anterior con la biblioteca de seguridad de código abierto de la API AntiSamy del Proyecto de seguridad de aplicaciones web abiertas. La API nueva garantiza que el HTML proporcionado por el usuario cumpla con las reglas de una aplicación.

Blackboard proporciona a los administradores un archivo default-policy.xml que contiene reglas de HTML seguro. Los administradores pueden definir las etiquetas y atributos HTML en el archivo default-policy.xml que están permitidos en su instancia de Blackboard, según el nivel de tolerancia al riesgo de su organización.

Si ha personalizado el archivo default-policy.xml y Blackboard realiza cambios en la versión predeterminada del archivo, se cambia el nombre del archivo predeterminado de Blackboard anterior para indicar que es una versión anterior. El nuevo archivo default-policy.xml de Blackboard se agrega a sus políticas y se establece como su política activa. Se le informará de la actualización del archivo por correo electrónico. Su propia política personalizada no se modifica.

Nota

El HTML seguro solo se aplica a los usuarios que no tienen el privilegio Agregar/modificar el contenido de confianza (también se lo conoce como el privilegio Agregar/editar el contenido de confianza con secuencias de comandos). Los usuarios con este privilegio pueden escribir códigos HTML no restringidos o de confianza, lo que significa que no están sujetos a las reglas del HTML seguro. De forma predeterminada, Blackboard otorga este privilegio a administradores, creadores de cursos, calificadores, profesores y asistentes de enseñanza. Todos los demás roles no cuentan con este privilegio de forma predeterminada, pero es posible agregarlo según sea necesario.

En el Panel del administrador, seleccione filtro de HTML seguro en el menú Seguridad

Importante

Los entornos SaaS de Blackboard no se pueden configurar para filtrar tipos de archivos personalizados a través de filtros HTML.

Personalizar una directiva

Los administradores pueden personalizar la lista de etiquetas y atributos HTML permitidos en el archivo default-policy.xml en función de las necesidades de sus organizaciones. Sin embargo, esto debería ser un evento poco frecuente. Los administradores solo deben personalizar la política si tienen un caso de uso específico que no se correlaciona con ella.

  1. En el Panel del administrador, seleccione filtro de HTML seguro en el menú Seguridad

  2. Seleccione filtro de HTML seguro para el editor de contenido para acceder a la lista de directivas.

  3. Acceda al menú del archivo default-policy.xml y seleccione Descarga. Guarde el archivo en su equipo.

  4. Realice los cambios necesarios en la regla de HTML seguro para satisfacer las necesidades de su organización.

  5. Cuando haya editado el archivo, escriba un nombre nuevo.

  6. Vuelva a la página filtro de HTML seguro para el editor de contenido para acceder a la lista de directivas.

  7. Seleccione Carga para acceder a la página Carga directiva HTML segura y busque el nuevo archivo.

  8. Si lo desea, escriba un comentario.

  9. Seleccione Enviar para la carga del nuevo archivo.

  10. El archivo nuevo aparecerá en la lista de archivos de políticas. En el menú del archivo, seleccione Activar para que este sea el archivo de políticas activo en su entorno de Blackboard.

Prueba de una directiva

Los administradores pueden probar las políticas para asegurarse de que funcionen correctamente y de que generen los resultados deseados.

  1. En el Panel del administrador, seleccione filtro de HTML seguro en el menú Seguridad

  2. Seleccione filtro de HTML seguro para el editor de contenido.

  3. En el menú del archivo de directivas, seleccione Examen de directiva.

  4. En el campo Introducir código (HTML, JS) en Examen introduzca el código HTML que desee probar.

  5. Seleccione Examen.

El sistema proporciona resultados de la prueba en función del código HTML que introdujo, como los siguientes:

  • Aparece un nuevo campo Salida saneada que muestra la salida saneada del sistema para el HTML que ha introducido.

  • Si la política no permite la etiqueta de la secuencia de comandos que escribió, aparecerá un mensaje indicándole que la secuencia de comandos no está permitida por motivos de seguridad.

  • Es posible que una etiqueta contenga un atributo que no se puede procesar. En este caso, aparecerá un mensaje con la etiqueta que contiene un atributo que no se puede procesar y que se ha eliminado.

Etiquetas y atributos de cuerpo HTML

El archivo default-policy.xml permite estas etiquetas y atributos de cuerpo.

Agrupación de elementos

tabla 20. Agrupación de elementos

Etiqueta

Atributos

div

id, class, lang, dir, title, style, align

span

id, class, dir, title, style, align, xml:lang



Encabezados

tabla 21. Encabezados

Etiqueta

Atributos

h1

id, class, lang, dir, title, style, align

h2

id, class, lang, dir, title, style, align

h3

id, class, lang, dir, title, style, align

h4

id, class, lang, dir, title, style, align

h5

id, class, lang, dir, title, style, align

h6

id, class, lang, dir, title, style, align



Dirección

tabla 22. Dirección

Etiqueta

Atributos

address

id, class, lang, dir, title, style



Estilo de fuente y etiquetas y atributos de HR

El archivo default-policy.xml se envía con estas etiquetas y atributos de estilo de fuente y HR.

Estilo de fuente
tabla 23. Estilo de fuente

Etiqueta

Atributos

tt

id, class, lang, dir, title, style

i

id, class, lang, dir, title, style

b

id, class, lang, dir, title, style

big

id, class, lang, dir, title, style

small

id, class, lang, dir, title, style



HR
tabla 24. HR

Etiqueta

Atributo

hr

id, class, lang, dir, title, style



Enumerar etiquetas y atributos

El archivo default-policy.xml se envía con estas etiquetas y atributos de lista.

Listas desordenadas, listas ordenadas y elementos de lista
tabla 25. Listas desordenadas, listas ordenadas y elementos de lista

Etiqueta

Atributos

ul

id, class, lang, dir, title, style

li

id, class, lang, dir, title, style

ol

id, class, lang, dir, title, style



Listas de definiciones
tabla 26. Listas de definiciones

Etiqueta

Atributos

dl

id, class, lang, dir, title, style

dt

id, class, lang, dir, title, style

dd

id, class, lang, dir, title, style

dir

id, class, dir, title, style, compact

menu

id, class, lang, dir, title, style, compact



Etiquetas y atributos de enlace

El archivo default-policy.xml se envía con estas etiquetas y atributos de vínculo.

Enlaces
tabla 27. Enlaces

Etiqueta

Atributos

a

class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape

link

Consulte http://www.w3schools.com/tags/tag_link.asp.



Etiquetas de texto y atributos

El archivo default-policy.xml se envía con estas etiquetas de texto y atributos.

Elementos de frase
tabla 28. Elementos de frase

Etiqueta

Atributos

em

id, class, lang, dir, title, style

strong

id, class, lang, dir, title, style

cite

id, class, lang, dir, title, style

dfn

id, class, lang, dir, title, style

código

id, class, lang, dir, title, style

samp

id, class, lang, dir, title, style

kbd

id, class, lang, dir, title, style

var

id, class, lang, dir, title, style

abbr

id, class, lang, dir, title, style

acronym

id, class, lang, dir, title, style



Citas
tabla 29. Citas

Etiqueta

Atributos

blockquote

id, class, lang, dir, title, style

q

id, class, lang, dir, title, style



Subíndices y superíndices
tabla 30. Subíndices y superíndices

Etiqueta

Atributos

sub

id, class, lang, dir, title, style

sup

id, class, lang, dir, title, style



Líneas y párrafos
tabla 31. Líneas y párrafos

Etiqueta

Atributos

p

id, class, lang, dir, title, style, align

br

id, class, title, style, clear

pre

id, class, lang, dir, title, style



Marcar cambios en el documento
tabla 32. Marcar cambios en el documento

Etiqueta

Atributos

ins

id, class, lang, dir, title, style

del

id, class, lang, dir, title, style



Etiquetas y atributos de tabla

El archivo default-policy.xml se envía con estas etiquetas y atributos de tabla.

Tabla
tabla 33. Tabla

Etiqueta

Atributos

tabla

id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir



Títulos de tabla
tabla 34. Títulos de tabla

Etiqueta

Atributos

caption

id, lang, dir, title, style



Grupos de filas
tabla 35. Grupos de filas

Etiqueta

Atributos

cabeza

cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign

tfoot

cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign

tbody

id, class, lang, dir, title, style, align, char, charoff, valign

pre

id, class, lang, dir, title, style



Grupos de columnas
tabla 36. Grupos de columnas

Etiqueta

Atributos

colgroup

span, width, id, class, lang, dir, title, style, align, char, charoff, valign

col

span, width, id, class, lang, dir, title, style, align, char, charoff, valign



Filas de tabla
tabla 37. Filas de tabla

Etiqueta

Atributos

tr

id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign



Celdas de tabla
tabla 38. Celdas de tabla

Etiqueta

Atributos

abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

td

abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign



Medios incrustados y etiquetas y atributos de Mashup

El archivo default-policy.xml se envía con estos medios incrustados y etiquetas y atributos de mashup.

Socios
tabla 39. Socios

Etiqueta

Atributos

secuencia de comandos

type, charset, src

iframe

src=comienza con SafeHTML Restricted Youtube Sources o bloques de construcción, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling



Imágenes
tabla 40. Imágenes

Etiqueta

Atributos

img

src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace



YouTube
tabla 41. YouTube

Etiqueta

Atributos

object

classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace

param

name=movie, value=starts with SafeHTML Restricted YouTube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false

incrustar

src=comienza con SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign

iframe

src=comienza con http(s)://www.youtube.com o http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scrolling



Compartir diapositivas
tabla 42. Compartir diapositivas

Etiqueta

Atributos

object

classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace

param

name=movie, value=comienza con http(s)://static.slidesharecdn.com/ o http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent

incrustar

src=comienza con http(s)://static.slidesharecdn.com/ o http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign

iframe

src=comienza con http(s)://static.slidesharecdn.com/ o http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, scrolling



Otros tipos de medios, incluido Flash
tabla 43. Otros tipos de medios, incluido Flash

Etiqueta

Atributos

Comentarios

object

codebase, name, align, hspace, vspace, bgcolor, classid

param

name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false

Puede contener otros parámetros, pero estos siempre deben estar presentes para otras fuentes que no sean YouTube y SlideShare.

incrustar

allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

El atributo allowScriptAccess=never siempre debe estar presente para Flash

El atributo allowNetworking=none siempre debe estar presente para Flash

El atributo allowFullScreen=false siempre debe estar presente para Flash

"type" no se limita actualmente a nuestros tipos de contenido multimedia compatibles, pero la política predeterminada finalmente se limitará a lo siguiente:

  • video/quicktime

  • application/x-shockwave-flash

  • application/x-director

  • application/x-mplayer2

iframe

src=restricted list, longdesc, nombre, ancho, alto, id, clase, título, estilo, alinear, frameborder, marginwidth, marginheight, desplazamiento